Baza prijetnji Malware Stargazers Ghost Network

Stargazers Ghost Network

Glumac prijetnje identificiran kao Stargazer Goblin stvorio je mrežu lažnih GitHub računa za pokretanje operacije Distribution-as-a-Service (DaaS) koja distribuira razne vrste zlonamjernog softvera za krađu informacija, zaradivši 100.000 dolara ilegalne dobiti tijekom prošle godine.

Ova mreža, poznata kao Stargazers Ghost Network, uključuje više od 3000 računa na platformi za hosting koda temeljenoj na oblaku i obuhvaća tisuće repozitorija koji se koriste za dijeljenje zlonamjernih poveznica i zlonamjernog softvera.

Obitelji zlonamjernog softvera koji se šire ovom mrežom uključuju Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer i RedLine. Osim toga, lažni računi sudjeluju u aktivnostima kao što su označavanje, račvanje, gledanje i pretplata na ta zlonamjerna spremišta kako bi stvorili dojam legitimnosti.

Zlonamjerni računi koji se predstavljaju kao normalni korisnici

Vjeruje se da je mreža aktivna od kolovoza 2022. u nekom preliminarnom obliku, iako reklama za DaaS nije uočena u mraku sve do početka srpnja 2023. Akteri prijetnji sada upravljaju mrežom 'Ghost' računa koji distribuiraju zlonamjerni softver putem zlonamjerne veze na njihovim spremištima i šifrirane arhive kao izdanje.

Ova mreža ne samo da distribuira zlonamjerni softver, već također pruža razne druge aktivnosti koje čine da se ti 'Ghost' računi pojavljuju kao normalni korisnici, dajući lažni legitimitet njihovim radnjama i povezanim spremištima.

Različite kategorije GitHub računa odgovorne su za različite aspekte sheme u pokušaju da svoju infrastrukturu učine otpornijom na GitHubove pokušaje uklanjanja kada su zlonamjerni sadržaji označeni na platformi.

Različite vrste računa koje koriste akteri prijetnje

Mreža koristi različite vrste računa za različite funkcije: neki računi upravljaju predlošcima spremišta za krađu identiteta, drugi daju slike za te predloške, a neki guraju zlonamjerni softver u spremišta u arhivama zaštićenim lozinkom prerušen u krekirani softver ili varalice u igrama.

Ako GitHub otkrije i zabrani treći skup računa, Stargazer Goblin ažurira phishing repozitorij iz prvog skupa novom vezom na aktivno zlonamjerno izdanje, minimizirajući prekid rada.

Osim što se sviđaju nova izdanja iz više repozitorija i mijenjaju veze za preuzimanje u datotekama README.md, dokazi upućuju na to da su neki računi na mreži možda bili ugroženi, a njihove vjerodajnice vjerojatno su dobivene putem kradljivog zlonamjernog softvera.

Istraživači obično otkrivaju da računi Repository i Stargazer često ostaju nepromijenjeni zabranama i uklanjanjem repozitorija, dok su računi Commit i Release obično zabranjeni nakon što se otkriju njihova zlonamjerna spremišta. Također je uobičajeno vidjeti Link-Repositories koji sadrže veze na zabranjena Release-Repositories. Kada se to dogodi, povezani Commit račun ažurira zlonamjernu vezu na novu.

Uvedene su razne prijetnje zlonamjernim softverom

Jedna od kampanja koju su otkrili stručnjaci uključuje zlonamjernu poveznicu koja vodi do GitHub repozitorija. Ovo spremište usmjerava korisnike na PHP skriptu koja se nalazi na web-mjestu WordPress, koja zatim isporučuje datoteku HTML aplikacije (HTA) za izvršavanje Atlantida Stealera putem PowerShell skripte.

Uz Atlantida Stealer, DaaS također distribuira druge obitelji malwarea, uključujući Lumma Stealer, RedLine Stealer, Rhadamanthys i RisePro. Stručnjaci su primijetili da su ovi GitHub računi dio šire DaaS mreže koja upravlja sličnim 'Ghost' računima na drugim platformama kao što su Discord, Facebook, Instagram, X i YouTube.

Zaključak

Stargazer Goblin razvio je vrlo sofisticiranu operaciju distribucije zlonamjernog softvera koja vješto izbjegava otkrivanje koristeći reputaciju GitHuba kao legitimnog mjesta. Ovaj pristup pomaže u izbjegavanju sumnje u zlonamjerne aktivnosti i smanjuje štetu kada GitHub intervenira.

Korištenjem različitih računa i profila za različite zadatke—kao što je označavanje spremišta zvjezdicom, njihovo hostiranje, postavljanje predložaka za krađu identiteta i hostiranje zlonamjernih izdanja—Stargazers Ghost Network može ograničiti svoje gubitke. Kada GitHub poremeti njihove operacije, to obično utječe samo na dio mreže, dopuštajući ostatku njihove infrastrukture da nastavi funkcionirati uz minimalan utjecaj.

U trendu

Nagledanije

Učitavam...