پایگاه داده تهدید Malware Stargazers Ghost Network

Stargazers Ghost Network

یک عامل تهدید به نام Stargazer Goblin شبکه ای از حساب های جعلی GitHub را برای اجرای عملیات توزیع به عنوان یک سرویس (DaaS) ایجاد کرده است که انواع مختلفی از بدافزارهای سرقت اطلاعات را توزیع می کند و در طول سال گذشته 100000 دلار سود غیرقانونی برای آنها به همراه داشته است.

این شبکه که با نام Stargazers Ghost Network شناخته می شود، شامل بیش از 3000 حساب کاربری در پلتفرم میزبانی کد مبتنی بر ابر است و هزاران مخزن را در بر می گیرد که برای اشتراک گذاری لینک های مخرب و بدافزارها استفاده می شود.

خانواده‌های بدافزاری که از طریق این شبکه پخش می‌شوند عبارتند از Atlantida Stealer، Rhadamanthys، RisePro، Lumma Stealer و RedLine. علاوه بر این، حساب‌های جعلی در فعالیت‌هایی مانند ستاره‌کردن، فورک کردن، تماشا کردن، و اشتراک در این مخازن مخرب برای ایجاد ظاهری مشروع شرکت می‌کنند.

حساب های مخرب که به عنوان کاربران عادی معرفی می شوند

اعتقاد بر این است که این شبکه از آگوست 2022 به شکل اولیه فعال بوده است، اگرچه تبلیغاتی برای DaaS تا اوایل ژوئیه 2023 در تاریکی مشاهده نشد. بازیگران تهدید اکنون شبکه ای از حساب های "Ghost" را اداره می کنند که بدافزار را از طریق توزیع می کند. پیوندهای مخرب در مخازن آنها و آرشیوهای رمزگذاری شده در زمان انتشار.

این شبکه نه تنها بدافزار را توزیع می‌کند، بلکه فعالیت‌های مختلف دیگری را نیز ارائه می‌کند که باعث می‌شود این حساب‌های «شبح» به‌عنوان کاربران عادی ظاهر شوند، و به اقدامات آنها و مخازن مربوطه مشروعیت جعلی می‌دهند.

دسته‌های مختلف حساب‌های GitHub مسئول جنبه‌های متمایز این طرح هستند تا زیرساخت‌های خود را در برابر تلاش‌های حذف توسط GitHub انعطاف‌پذیرتر کنند، زمانی که بارهای مخرب روی پلتفرم پرچم‌گذاری می‌شوند.

انواع مختلف حساب های مورد استفاده توسط عوامل تهدید

این شبکه از انواع حساب‌ها برای عملکردهای مختلف استفاده می‌کند: برخی از حساب‌ها الگوهای مخزن فیشینگ را مدیریت می‌کنند، برخی دیگر تصاویر این قالب‌ها را ارائه می‌دهند، و برخی بدافزارها را به مخازن در آرشیوهای محافظت شده با رمز عبور می‌فرستند که به عنوان نرم‌افزار کرک شده یا تقلب‌های بازی پنهان شده‌اند.

اگر GitHub مجموعه سوم حساب‌ها را شناسایی و مسدود کند، Stargazer Goblin مخزن فیشینگ را از اولین مجموعه با پیوند جدیدی به یک نسخه مخرب فعال به‌روزرسانی می‌کند و اختلالات عملیاتی را به حداقل می‌رساند.

علاوه بر علاقه مندی به نسخه های جدید از چندین مخزن و اصلاح لینک های دانلود در فایل های README.md، شواهد نشان می دهد که برخی از حساب های موجود در شبکه ممکن است در معرض خطر قرار گرفته باشند و اعتبار آنها احتمالاً از طریق بدافزار دزد به دست آمده است.

محققان معمولاً متوجه می شوند که حساب های Repository و Stargazer اغلب تحت تأثیر تحریم ها و حذف مخزن قرار نمی گیرند، در حالی که حساب های Commit و Release معمولاً پس از کشف مخازن مخرب آنها ممنوع می شوند. همچنین مشاهده لینک‌های مخازن که حاوی پیوندهایی به مخازن انتشار ممنوع هستند، بسیار رایج است. هنگامی که این اتفاق می افتد، حساب Commit مرتبط پیوند مخرب را به یک پیوند جدید به روز می کند.

تهدیدهای مختلف بدافزار مستقر شده است

یکی از کمپین‌هایی که توسط کارشناسان کشف شده است، شامل یک پیوند مخرب است که به یک مخزن GitHub منتهی می‌شود. این مخزن کاربران را به یک اسکریپت PHP که در یک سایت وردپرس میزبانی شده است هدایت می کند، که سپس یک فایل HTML Application (HTA) را برای اجرای Atlantida Stealer از طریق یک اسکریپت PowerShell ارائه می دهد.

علاوه بر Atlantida Stealer، DaaS خانواده‌های بدافزار دیگری از جمله Lumma Stealer، RedLine Stealer، Rhadamanthys و RisePro را نیز توزیع می‌کند. کارشناسان مشاهده کرده‌اند که این حساب‌های GitHub بخشی از یک شبکه DaaS گسترده‌تر هستند که حساب‌های مشابه «Ghost» را در سایر پلتفرم‌ها مانند Discord، Facebook، Instagram، X و YouTube اجرا می‌کند.

نتیجه

Stargazer Goblin یک عملیات توزیع بدافزار بسیار پیچیده ایجاد کرده است که با استفاده از شهرت GitHub به عنوان یک سایت قانونی، هوشمندانه از شناسایی فرار می کند. این رویکرد به جلوگیری از مشکوک شدن به فعالیت های مخرب کمک می کند و در هنگام مداخله GitHub آسیب را کاهش می دهد.

شبکه Stargazers Ghost با استفاده از انواع حساب ها و نمایه ها برای کارهای مختلف - مانند ستاره گذاری مخازن، میزبانی آنها، انجام الگوهای فیشینگ و میزبانی نسخه های مخرب - می تواند ضرر و زیان آنها را محدود کند. هنگامی که GitHub در عملیات آنها اختلال ایجاد می کند، معمولاً تنها بخشی از شبکه را تحت تأثیر قرار می دهد و به بقیه زیرساخت های آنها اجازه می دهد تا با کمترین تأثیر به کار خود ادامه دهند.

پرطرفدار

پربیننده ترین

بارگذاری...