Stargazers Ghost Network
Stargazer Gobliniksi tunnistettu uhkatoimija on luonut väärennettyjen GitHub-tilien verkoston suorittaakseen Distribution-as-a-Service (DaaS) -operaation, joka jakelee erilaisia tietoja varastavia haittaohjelmia ja ansaitsi heille 100 000 dollaria laittomia voittoja viimeisen vuoden aikana.
Tämä verkosto, joka tunnetaan nimellä Stargazers Ghost Network, sisältää yli 3 000 tiliä pilvipohjaisella koodipalvelualustalla ja kattaa tuhansia tietovarastoja, joita käytetään haitallisten linkkien ja haittaohjelmien jakamiseen.
Tämän verkoston kautta leviäviä haittaohjelmaperheitä ovat Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ja RedLine. Lisäksi väärennetyt tilit osallistuvat toimiin, kuten näyttelemiseen, haaroittamiseen, katselemiseen ja näiden haitallisten tietovarastojen tilaamiseen luodakseen vaikutelman laillisuudesta.
Sisällysluettelo
Haitalliset tilit esiintyvät normaaleina käyttäjinä
Verkoston uskotaan olleen aktiivinen elokuusta 2022 lähtien jossain alustavassa muodossa, vaikka DaaS:n mainos havaittiin hämärässä vasta heinäkuun 2023 alussa. Uhkatoimijat ylläpitävät nyt "Ghost"-tiliverkostoa, joka levittää haittaohjelmia haitallisia linkkejä arkistoihinsa ja salattuihin arkistoihin julkaisuna.
Tämä verkosto ei ainoastaan jaa haittaohjelmia, vaan tarjoaa myös monia muita toimintoja, jotka saavat nämä "Ghost"-tilit näyttämään normaaleina käyttäjinä, antaen väärennetyn legitiimiyden heidän toiminnalleen ja niihin liittyville tietovarastoille.
Eri GitHub-tilien luokat ovat vastuussa järjestelmän eri osa-alueista yrittäessään tehdä infrastruktuuristaan kestävämpiä GitHubin poistotoimille, kun haitalliset hyötykuormat merkitään alustalla.
Uhkatoimijoiden käyttämät erilaiset tilit
Verkosto käyttää eri tyyppisiä tilejä eri toimintoihin: jotkut tilit hallitsevat tietojenkalastelutietovarastomalleja, toiset toimittavat kuvia näille malleille ja jotkut työntävät haittaohjelmia salasanasuojattujen arkistojen arkistoihin, jotka on naamioitu murretuiksi ohjelmistoiksi tai pelihuijauksiksi.
Jos GitHub havaitsee ja estää kolmannen tilijoukon, Stargazer Goblin päivittää tietojenkalastelutietovaraston ensimmäisestä sarjasta uudella linkillä aktiiviseen haitalliseen julkaisuun, mikä minimoi toimintahäiriön.
Sen lisäksi, että pidät uusista julkaisuista useista arkistoista ja muokkaat latauslinkkejä README.md-tiedostoissa, todisteet viittaavat siihen, että jotkin verkon tilit on saatettu vaarantua, ja niiden tunnistetiedot on todennäköisesti saatu varastettujen haittaohjelmien kautta.
Tutkijat huomaavat yleensä, että kiellot ja arkiston poistot eivät useinkaan vaikuta Repository- ja Stargazer-tileihin, kun taas Commit- ja Release-tilit yleensä kielletään, kun niiden haitalliset tietovarastot havaitaan. On myös yleistä nähdä linkkivarastot, jotka sisältävät linkkejä kiellettyihin julkaisutietovarastoihin. Kun näin tapahtuu, siihen liittyvä Commit-tili päivittää haitallisen linkin uuteen.
Erilaisia haittaohjelmien uhkia käyttöön
Yksi asiantuntijoiden paljastamista kampanjoista sisältää haitallisen linkin, joka johtaa GitHub-tietovarastoon. Tämä arkisto ohjaa käyttäjät WordPress-sivustolla isännöityyn PHP-skriptiin, joka toimittaa sitten HTML-sovellustiedoston (HTA) Atlantida Stealer -ohjelman suorittamiseksi PowerShell-komentosarjan kautta.
Atlantida Stealerin lisäksi DaaS jakelee myös muita haittaohjelmaperheitä, mukaan lukien Lumma Stealer, RedLine Stealer, Rhadamanthys ja RisePro. Asiantuntijat ovat havainneet, että nämä GitHub-tilit ovat osa laajempaa DaaS-verkostoa, joka ylläpitää samanlaisia "Ghost"-tilejä muilla alustoilla, kuten Discordissa, Facebookissa, Instagramissa, X:ssä ja YouTubessa.
Johtopäätös
Stargazer Goblin on kehittänyt erittäin kehittyneen haittaohjelmien jakelutoiminnon, joka välttää havaitsemisen taitavasti hyödyntämällä GitHubin mainetta laillisena sivustona. Tämä lähestymistapa auttaa välttämään epäilyksiä haitallisista toimista ja vähentää vahinkoa GitHubin puuttuessa asiaan.
Stargazers Ghost Network voi rajoittaa tappioitaan käyttämällä erilaisia tilejä ja profiileja erilaisiin tehtäviin – kuten arkistoihin merkitseminen, niiden isännöinti, tietojenkalastelumallien tekeminen ja haitallisten julkaisujen isännöinti. Kun GitHub häiritsee heidän toimintaansa, se vaikuttaa yleensä vain osaan verkosta, jolloin heidän muun infrastruktuurinsa voi jatkaa toimintaansa minimaalisella vaikutuksella.