Stargazers Ghost Network
A Stargazer Goblinként azonosított fenyegetett szereplő hamis GitHub-fiókok hálózatát hozta létre, hogy olyan Distribution-as-a-Service (DaaS) műveletet hajtson végre, amely különféle típusú információlopó rosszindulatú programokat terjeszt, és az elmúlt évben 100 000 dollár illegális haszonra tett szert.
Ez a Stargazers Ghost Network néven ismert hálózat több mint 3000 fiókot tartalmaz a felhő alapú kódtárhelyen, és több ezer tárat ölel fel, amelyek rosszindulatú hivatkozások és rosszindulatú programok megosztására szolgálnak.
A hálózaton keresztül terjedő rosszindulatú programcsaládok közé tartozik az Atlantida Stealer, a Rhadamanthys, a RisePro, a Lumma Stealer és a RedLine. Ezenkívül a hamis fiókok olyan tevékenységekben vesznek részt, mint a főszereplés, az elágazás, a figyelés és az ezekre a rosszindulatú adattárak előfizetése, hogy a legitimitás látszatát keltsék.
Tartalomjegyzék
Normál felhasználóknak kiadó rosszindulatú fiókok
A hálózat feltehetően 2022 augusztusa óta működik valamilyen előzetes formában, bár a DaaS hirdetését csak 2023 júliusának elején vették észre a sötétben. A fenyegetés szereplői most „Ghost” fiókok hálózatát üzemeltetik, amelyek rosszindulatú programokat terjesztenek rosszindulatú hivatkozásokat a tárolóikban és a titkosított archívumokban kiadásként.
Ez a hálózat nem csak rosszindulatú programokat terjeszt, hanem számos egyéb tevékenységet is biztosít, amelyek révén ezek a „Ghost” fiókok normál felhasználóként jelennek meg, hamis legitimációt kölcsönözve tevékenységeiknek és a kapcsolódó tárolóknak.
A GitHub-fiókok különböző kategóriái felelősek a rendszer különböző aspektusaiért annak érdekében, hogy infrastruktúrájuk ellenállóbbá váljon a GitHub általi eltávolítási erőfeszítésekkel szemben, amikor rosszindulatú rakományokat jeleznek a platformon.
A fenyegető szereplők által használt különböző típusú fiókok
A hálózat különböző típusú fiókokat alkalmaz különböző funkciókhoz: egyes fiókok adathalász adattár-sablonokat kezelnek, mások képeket szolgáltatnak ezekhez a sablonokhoz, és vannak, amelyek rosszindulatú programokat küldenek a jelszóval védett archívumok tárolóiba feltört szoftvernek vagy játékcsalásnak álcázva.
Ha a GitHub észleli és letiltja a harmadik fiókkészletet, a Stargazer Goblin frissíti az adathalász adattárat az első készlettől kezdve egy új hivatkozással egy aktív rosszindulatú kiadásra, minimalizálva a működési zavarokat.
Amellett, hogy szereti az új kiadásokat több adattárból, és módosítja a letöltési hivatkozásokat a README.md fájlokban, a bizonyítékok arra utalnak, hogy a hálózat egyes fiókjait feltörhették, és hitelesítő adataikat valószínűleg rosszindulatú lopás révén szerezték meg.
A kutatók általában úgy találják, hogy a Repository és Stargazer fiókokat gyakran nem érintik a kitiltások és az adattárak eltávolítása, míg a Commit and Release fiókokat rendszerint letiltják, amint felfedezik a rosszindulatú adattárakat. Gyakori az olyan hivatkozás-tárak is, amelyek tiltott kiadási tárolókra mutató hivatkozásokat tartalmaznak. Amikor ez megtörténik, a társított Commit-fiók egy újra frissíti a rosszindulatú hivatkozást.
Különféle rosszindulatú programokat telepítettek
A szakértők által feltárt kampányok egyike egy GitHub adattárhoz vezető rosszindulatú linket tartalmaz. Ez az adattár a felhasználókat egy WordPress webhelyen tárolt PHP-szkriptre irányítja, amely aztán egy HTML-alkalmazás (HTA) fájlt szállít az Atlantida Stealer PowerShell-szkripten keresztüli végrehajtásához.
Az Atlantida Stealer mellett a DaaS más rosszindulatú programcsaládokat is terjeszt, köztük a Lumma Stealer, a RedLine Stealer, a Rhadamanthys és a RisePro. A szakértők megfigyelték, hogy ezek a GitHub-fiókok egy szélesebb DaaS-hálózat részét képezik, amely hasonló „Ghost” fiókokat üzemeltet más platformokon, például a Discordon, a Facebookon, az Instagramon, az X-en és a YouTube-on.
Következtetés
A Stargazer Goblin egy rendkívül kifinomult rosszindulatú programterjesztési műveletet fejlesztett ki, amely ügyesen elkerüli az észlelést azáltal, hogy kihasználja a GitHub legitim webhely hírnevét. Ez a megközelítés segít elkerülni a rosszindulatú tevékenységek gyanúját, és csökkenti a károkat, amikor a GitHub beavatkozik.
Különféle fiókok és profilok használatával különböző feladatokhoz – például adattárak megjelölésével, tárolásával, adathalász sablonok végrehajtásával és rosszindulatú kiadások tárolásával – a Stargazers Ghost Network korlátozhatja veszteségeit. Amikor a GitHub megzavarja működésüket, az jellemzően csak a hálózat egy részét érinti, így az infrastruktúra többi része minimális hatással tud tovább működni.