Stargazers Ghost Network
Stargazer Goblinina tuvastatud ohutegelane on loonud võltsitud GitHubi kontode võrgustiku, et käivitada teenus Distribution-as-a-Service (DaaS), mis levitab erinevat tüüpi teavet varastavat pahavara, teenides neile viimase aasta jooksul 100 000 dollarit ebaseaduslikku kasumit.
See Stargazers Ghost Network nime all tuntud võrk sisaldab pilvepõhisel koodimajutusplatvormil enam kui 3000 kontot ja hõlmab tuhandeid hoidlaid, mida kasutatakse pahatahtlike linkide ja pahavara jagamiseks.
Selle võrgu kaudu levivad pahavarapered on Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ja RedLine. Lisaks osalevad võltskontod sellistes tegevustes nagu nende pahatahtlike andmehoidlate tähistamine, hargimine, vaatamine ja nende tellimine, et luua näiliselt õiguspärasust.
Sisukord
Tavakasutajatena esinevad pahatahtlikud kontod
Arvatakse, et võrk on mingil esialgsel kujul olnud aktiivne alates 2022. aasta augustist, kuigi DaaS-i reklaami märgati pimedas alles 2023. aasta juuli alguses. Ohutegijad haldavad nüüd kummikontode võrgustikku, mis levitab pahavara kaudu pahatahtlikud lingid nende hoidlates ja krüptitud arhiivides.
See võrk mitte ainult ei levita pahavara, vaid pakub ka mitmesuguseid muid tegevusi, mis muudavad need kummituskontod tavakasutajatena, andes nende tegevusele ja seotud hoidlatele võlts legitiimsuse.
Erinevad GitHubi kontode kategooriad vastutavad skeemi erinevate aspektide eest, et muuta nende infrastruktuur GitHubi eemaldamispüüdluste suhtes vastupidavamaks, kui platvormil märgitakse pahatahtlikud kasulikud koormused.
Erinevat tüüpi kontod, mida ohus osalejad kasutavad
Võrgustik kasutab erinevate funktsioonide jaoks erinevat tüüpi kontosid: mõned kontod haldavad andmepüügihoidlate malle, teised pakuvad nende mallide jaoks pilte ja mõned suunavad pahavara parooliga kaitstud arhiivihoidlatesse, mis on maskeeritud murtud tarkvara või mängupettustena.
Kui GitHub tuvastab ja keelab kolmanda kontokomplekti, värskendab Stargazer Goblin andmepüügihoidlat alates esimesest komplektist uue lingiga aktiivsele pahatahtlikule väljalasele, minimeerides tööhäireid.
Lisaks sellele, et meeldisid mitmest hoidlast pärit uued väljalasked ja failides README.md allalaadimislinke muudeti, viitavad tõendid sellele, et mõned võrgus olevad kontod võisid ohtu sattuda, kuna nende volikirjad saadi tõenäoliselt varastatud pahavara kaudu.
Teadlased avastavad tavaliselt, et hoidla ja Stargazeri kontosid ei mõjuta keelud ja hoidlate eemaldamised, samas kui Commit and Release kontod keelatakse tavaliselt pärast nende pahatahtlike hoidlate avastamist. Samuti on tavaline näha linkide hoidlaid, mis sisaldavad linke keelatud väljalaskehoidlatele. Kui see juhtub, värskendab seotud Commit konto pahatahtliku lingi uuega.
Kasutatud on mitmesuguseid pahavaraohte
Üks ekspertide paljastatud kampaaniatest hõlmab pahatahtlikku linki, mis viib GitHubi hoidlasse. See hoidla suunab kasutajad WordPressi saidil hostitud PHP-skripti juurde, mis seejärel edastab HTML-i rakenduse (HTA) faili, et käivitada Atlantida Stealer PowerShelli skripti kaudu.
Lisaks Atlantida Stealerile levitab DaaS ka teisi pahavara perekondi, sealhulgas Lumma Stealer, RedLine Stealer, Rhadamanthys ja RisePro. Eksperdid on täheldanud, et need GitHubi kontod on osa laiemast DaaS-i võrgustikust, mis haldab sarnaseid Ghost-kontosid teistel platvormidel, nagu Discord, Facebook, Instagram, X ja YouTube.
Järeldus
Stargazer Goblin on välja töötanud väga keeruka pahavara levitamisoperatsiooni, mis väldib nutikalt tuvastamist, kasutades ära GitHubi kui legitiimse saidi mainet. See lähenemine aitab vältida kahtlust pahatahtlikes tegevustes ja vähendab GitHubi sekkumisel kahju.
Kasutades erinevate ülesannete jaoks mitmesuguseid kontosid ja profiile (nt hoidlate tähistamine, nende hostimine, andmepüügimallide kasutamine ja pahatahtlike väljaannete hostimine), saab Stargazers Ghost Network nende kahjusid piirata. Kui GitHub häirib nende tegevust, mõjutab see tavaliselt ainult osa võrgust, võimaldades ülejäänud infrastruktuuril jätkata toimimist minimaalse mõjuga.