Stargazers Ghost Network
یک عامل تهدید به نام Stargazer Goblin شبکه ای از حساب های جعلی GitHub را برای اجرای عملیات توزیع به عنوان یک سرویس (DaaS) ایجاد کرده است که انواع مختلفی از بدافزارهای سرقت اطلاعات را توزیع می کند و در طول سال گذشته 100000 دلار سود غیرقانونی برای آنها به همراه داشته است.
این شبکه که با نام Stargazers Ghost Network شناخته می شود، شامل بیش از 3000 حساب کاربری در پلتفرم میزبانی کد مبتنی بر ابر است و هزاران مخزن را در بر می گیرد که برای اشتراک گذاری لینک های مخرب و بدافزارها استفاده می شود.
خانوادههای بدافزاری که از طریق این شبکه پخش میشوند عبارتند از Atlantida Stealer، Rhadamanthys، RisePro، Lumma Stealer و RedLine. علاوه بر این، حسابهای جعلی در فعالیتهایی مانند ستارهکردن، فورک کردن، تماشا کردن، و اشتراک در این مخازن مخرب برای ایجاد ظاهری مشروع شرکت میکنند.
فهرست مطالب
حساب های مخرب که به عنوان کاربران عادی معرفی می شوند
اعتقاد بر این است که این شبکه از آگوست 2022 به شکل اولیه فعال بوده است، اگرچه تبلیغاتی برای DaaS تا اوایل ژوئیه 2023 در تاریکی مشاهده نشد. بازیگران تهدید اکنون شبکه ای از حساب های "Ghost" را اداره می کنند که بدافزار را از طریق توزیع می کند. پیوندهای مخرب در مخازن آنها و آرشیوهای رمزگذاری شده در زمان انتشار.
این شبکه نه تنها بدافزار را توزیع میکند، بلکه فعالیتهای مختلف دیگری را نیز ارائه میکند که باعث میشود این حسابهای «شبح» بهعنوان کاربران عادی ظاهر شوند، و به اقدامات آنها و مخازن مربوطه مشروعیت جعلی میدهند.
دستههای مختلف حسابهای GitHub مسئول جنبههای متمایز این طرح هستند تا زیرساختهای خود را در برابر تلاشهای حذف توسط GitHub انعطافپذیرتر کنند، زمانی که بارهای مخرب روی پلتفرم پرچمگذاری میشوند.
انواع مختلف حساب های مورد استفاده توسط عوامل تهدید
این شبکه از انواع حسابها برای عملکردهای مختلف استفاده میکند: برخی از حسابها الگوهای مخزن فیشینگ را مدیریت میکنند، برخی دیگر تصاویر این قالبها را ارائه میدهند، و برخی بدافزارها را به مخازن در آرشیوهای محافظت شده با رمز عبور میفرستند که به عنوان نرمافزار کرک شده یا تقلبهای بازی پنهان شدهاند.
اگر GitHub مجموعه سوم حسابها را شناسایی و مسدود کند، Stargazer Goblin مخزن فیشینگ را از اولین مجموعه با پیوند جدیدی به یک نسخه مخرب فعال بهروزرسانی میکند و اختلالات عملیاتی را به حداقل میرساند.
علاوه بر علاقه مندی به نسخه های جدید از چندین مخزن و اصلاح لینک های دانلود در فایل های README.md، شواهد نشان می دهد که برخی از حساب های موجود در شبکه ممکن است در معرض خطر قرار گرفته باشند و اعتبار آنها احتمالاً از طریق بدافزار دزد به دست آمده است.
محققان معمولاً متوجه می شوند که حساب های Repository و Stargazer اغلب تحت تأثیر تحریم ها و حذف مخزن قرار نمی گیرند، در حالی که حساب های Commit و Release معمولاً پس از کشف مخازن مخرب آنها ممنوع می شوند. همچنین مشاهده لینکهای مخازن که حاوی پیوندهایی به مخازن انتشار ممنوع هستند، بسیار رایج است. هنگامی که این اتفاق می افتد، حساب Commit مرتبط پیوند مخرب را به یک پیوند جدید به روز می کند.
تهدیدهای مختلف بدافزار مستقر شده است
یکی از کمپینهایی که توسط کارشناسان کشف شده است، شامل یک پیوند مخرب است که به یک مخزن GitHub منتهی میشود. این مخزن کاربران را به یک اسکریپت PHP که در یک سایت وردپرس میزبانی شده است هدایت می کند، که سپس یک فایل HTML Application (HTA) را برای اجرای Atlantida Stealer از طریق یک اسکریپت PowerShell ارائه می دهد.
علاوه بر Atlantida Stealer، DaaS خانوادههای بدافزار دیگری از جمله Lumma Stealer، RedLine Stealer، Rhadamanthys و RisePro را نیز توزیع میکند. کارشناسان مشاهده کردهاند که این حسابهای GitHub بخشی از یک شبکه DaaS گستردهتر هستند که حسابهای مشابه «Ghost» را در سایر پلتفرمها مانند Discord، Facebook، Instagram، X و YouTube اجرا میکند.
نتیجه
Stargazer Goblin یک عملیات توزیع بدافزار بسیار پیچیده ایجاد کرده است که با استفاده از شهرت GitHub به عنوان یک سایت قانونی، هوشمندانه از شناسایی فرار می کند. این رویکرد به جلوگیری از مشکوک شدن به فعالیت های مخرب کمک می کند و در هنگام مداخله GitHub آسیب را کاهش می دهد.
شبکه Stargazers Ghost با استفاده از انواع حساب ها و نمایه ها برای کارهای مختلف - مانند ستاره گذاری مخازن، میزبانی آنها، انجام الگوهای فیشینگ و میزبانی نسخه های مخرب - می تواند ضرر و زیان آنها را محدود کند. هنگامی که GitHub در عملیات آنها اختلال ایجاد می کند، معمولاً تنها بخشی از شبکه را تحت تأثیر قرار می دهد و به بقیه زیرساخت های آنها اجازه می دهد تا با کمترین تأثیر به کار خود ادامه دهند.