위협 데이터베이스 Malware Stargazers 유령 네트워크

Stargazers 유령 네트워크

Stargazer Goblin으로 확인된 위협 행위자는 다양한 유형의 정보 도용 악성 코드를 배포하는 DaaS(Distribution-as-a-Service) 작업을 실행하기 위해 가짜 GitHub 계정 네트워크를 만들어 지난 1년 동안 100,000달러의 불법 이익을 얻었습니다.

Stargazers Ghost Network로 알려진 이 네트워크에는 클라우드 기반 코드 호스팅 플랫폼에 3,000개 이상의 계정이 포함되어 있으며 악성 링크와 악성 코드를 공유하는 데 사용되는 수천 개의 저장소에 걸쳐 있습니다.

이 네트워크를 통해 확산되는 악성 코드 계열에는 Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer 및 RedLine이 포함됩니다. 또한 가짜 계정은 합법적인 것처럼 보이기 위해 이러한 악성 리포지토리에 출연, 분기, 시청, 구독과 같은 활동에 참여합니다.

일반 사용자를 사칭하는 악성 계정

DaaS에 대한 광고는 2023년 7월 초까지 어둠 속에서 발견되지 않았지만 네트워크는 2022년 8월부터 일부 예비 형태로 활성화된 것으로 추정됩니다. 위협 행위자들은 현재 악성 코드를 배포하는 'Ghost' 계정 네트워크를 운영하고 있습니다. 저장소의 악성 링크와 암호화된 아카이브를 릴리스합니다.

이 네트워크는 악성 코드를 배포할 뿐만 아니라 이러한 'Ghost' 계정을 일반 사용자로 보이게 하는 다양한 활동을 제공하여 이들의 활동 및 관련 저장소에 가짜 합법성을 부여합니다.

GitHub 계정의 다양한 범주는 플랫폼에 악성 페이로드가 표시될 때 GitHub의 게시 중단 노력에 대한 인프라의 탄력성을 높이기 위해 계획의 고유한 측면을 담당합니다.

위협 행위자가 활용하는 다양한 유형의 계정

네트워크는 다양한 기능을 위해 다양한 유형의 계정을 사용합니다. 일부 계정은 피싱 저장소 템플릿을 관리하고, 다른 계정은 이러한 템플릿에 대한 이미지를 제공하며, 일부는 크랙된 소프트웨어나 게임 치트로 위장하여 암호로 보호된 아카이브의 저장소에 악성 코드를 푸시합니다.

GitHub가 세 번째 계정 세트를 감지하고 금지하면 Stargazer Goblin은 첫 번째 세트의 피싱 저장소를 활성 악성 릴리스에 대한 새로운 링크로 업데이트하여 운영 중단을 최소화합니다.

여러 저장소의 새 릴리스에 좋아요를 표시하고 README.md 파일의 다운로드 링크를 수정하는 것 외에도 네트워크의 일부 계정이 도용 악성 코드를 통해 자격 증명을 획득하여 손상되었을 수 있다는 증거가 있습니다.

연구자들은 일반적으로 Repository 및 Stargazer 계정이 금지 및 저장소 게시 중단의 영향을 받지 않는 경우가 많은 반면 Commit 및 Release 계정은 일반적으로 악성 저장소가 발견되면 금지된다는 사실을 발견했습니다. 금지된 릴리스 저장소에 대한 링크가 포함된 링크 저장소를 보는 것도 일반적입니다. 이런 일이 발생하면 연결된 커밋 계정은 악성 링크를 새 링크로 업데이트합니다.

배포되는 다양한 악성 코드 위협

전문가들이 밝혀낸 캠페인 중 하나에는 GitHub 저장소로 연결되는 악성 링크가 포함되어 있습니다. 이 리포지토리는 사용자를 WordPress 사이트에 호스팅된 PHP 스크립트로 연결한 다음 PowerShell 스크립트를 통해 Atlantida Stealer를 실행하기 위한 HTML 애플리케이션(HTA) 파일을 전달합니다.

Atlantida Stealer 외에도 DaaS는 Lumma Stealer, RedLine Stealer, Rhadamanthys 및 RisePro를 포함한 다른 악성 코드 계열도 배포합니다. 전문가들은 이러한 GitHub 계정이 Discord, Facebook, Instagram, X 및 YouTube와 같은 다른 플랫폼에서 유사한 'Ghost' 계정을 운영하는 더 광범위한 DaaS 네트워크의 일부임을 관찰했습니다.

결론

Stargazer Goblin은 합법적인 사이트라는 GitHub의 평판을 활용하여 교묘하게 탐지를 회피하는 매우 정교한 악성 코드 배포 작업을 개발했습니다. 이 접근 방식은 악의적인 활동에 대한 의심을 피하고 GitHub가 개입할 때 피해를 줄이는 데 도움이 됩니다.

Stargazers Ghost Network는 리포지토리 별표 표시, 호스팅, 피싱 템플릿 커밋, 악성 릴리스 호스팅 등 다양한 작업에 다양한 계정과 프로필을 사용하여 손실을 제한할 수 있습니다. GitHub가 운영을 중단하면 일반적으로 네트워크의 일부에만 영향을 미치므로 인프라의 나머지 부분은 최소한의 영향으로 계속 작동할 수 있습니다.

트렌드

가장 많이 본

로드 중...