„Stargazers Ghost Network“.
Grėsmių veikėjas, vadinamas „Stargazer Goblin“, sukūrė netikrų „GitHub“ paskyrų tinklą, kad galėtų vykdyti „Distribution-as-a-Service“ (DaaS) operaciją, kuri platina įvairaus tipo informaciją vagiančias kenkėjiškas programas ir per pastaruosius metus uždirbo 100 000 USD neteisėto pelno.
Šis tinklas, žinomas kaip „Stargazers Ghost Network“, apima daugiau nei 3000 paskyrų debesies pagrindu veikiančioje kodo prieglobos platformoje ir apima tūkstančius saugyklų, naudojamų dalytis kenkėjiškomis nuorodomis ir kenkėjiškomis programomis.
Šiame tinkle plintančių kenkėjiškų programų šeimos yra „Atlantida Stealer“, „Rhadamanthys“, „RisePro“, „Lumma Stealer“ ir „RedLine“. Be to, suklastotos paskyros užsiima tokia veikla, kaip žymėjimas žvaigždutėmis, šakojimas, žiūrėjimas ir šių kenkėjiškų saugyklų prenumerata, kad būtų sukurta teisėtumo įspūdis.
Turinys
Kenkėjiškos paskyros, apsimetančios kaip įprasti vartotojai
Manoma, kad tinklas tam tikra preliminariu pavidalu veikė nuo 2022 m. rugpjūčio mėn., nors DaaS reklama buvo pastebėta tik 2023 m. liepos pradžioje. Dabar grėsmės veikėjai valdo „Vaiduoklių“ paskyrų tinklą, per kurį platinamos kenkėjiškos programos. kenkėjiškos nuorodos jų saugyklose ir užšifruotuose archyvuose.
Šis tinklas ne tik platina kenkėjiškas programas, bet ir teikia įvairią kitą veiklą, dėl kurios šios „Vaiduoklių“ paskyros atrodo kaip įprasti vartotojai, suteikiant netikrą teisėtumą jų veiksmams ir susijusioms saugykloms.
Skirtingos „GitHub“ paskyrų kategorijos yra atsakingos už skirtingus schemos aspektus, siekiant, kad jų infrastruktūra būtų atsparesnė „GitHub“ pastangoms panaikinti, kai platformoje pažymėtos kenkėjiškos apkrovos.
Įvairių tipų paskyros, kurias naudoja grėsmės veikėjai
Tinklas naudoja įvairių tipų paskyras įvairioms funkcijoms atlikti: kai kurios paskyros tvarko sukčiavimo saugyklų šablonus, kitos pateikia šių šablonų vaizdus, o kai kurios siunčia kenkėjiškas programas į slaptažodžiu apsaugotų archyvų saugyklas, užmaskuotas kaip nulaužta programinė įranga ar žaidimų apgaulės.
Jei „GitHub“ aptinka ir uždraudžia trečiąjį paskyrų rinkinį, „Stargazer Goblin“ atnaujina sukčiavimo saugyklą nuo pirmojo rinkinio su nauja nuoroda į aktyvų kenkėjišką leidimą, taip sumažindama veiklos sutrikimus.
Be to, kad patinka nauji leidimai iš kelių saugyklų ir modifikuojamos atsisiuntimo nuorodos README.md failuose, įrodymai rodo, kad kai kurios tinklo paskyros galėjo būti pažeistos, o jų kredencialai greičiausiai buvo gauti naudojant kenkėjiškas programas.
Tyrėjai paprastai nustato, kad „Repository“ ir „Stargazer“ paskyros dažnai lieka nepaveiktos draudimų ir saugyklų panaikinimo, o „Commit“ ir „Release“ paskyros paprastai yra uždraustos, kai aptinkamos jų kenkėjiškos saugyklos. Taip pat dažnai matomos nuorodų saugyklos, kuriose yra nuorodų į uždraustas leidimų saugyklas. Kai taip nutinka, susieta „Commit“ paskyra atnaujina kenkėjišką nuorodą į naują.
Įdiegtos įvairios kenkėjiškos programos
Viena iš ekspertų atskleistų kampanijų yra susijusi su kenkėjiška nuoroda, vedančia į „GitHub“ saugyklą. Ši saugykla nukreipia vartotojus į PHP scenarijų, priglobtą „WordPress“ svetainėje, kuris tada pateikia HTML programos (HTA) failą, kad paleistų Atlantida Stealer per PowerShell scenarijų.
Be „Atlantida Stealer“, „DaaS“ taip pat platina kitas kenkėjiškų programų šeimas, įskaitant „Lumma Stealer“, „RedLine Stealer“, „Rhadamanthys“ ir „RisePro“. Ekspertai pastebėjo, kad šios „GitHub“ paskyros yra platesnio „DaaS“ tinklo dalis, kuri valdo panašias „Ghost“ paskyras kitose platformose, tokiose kaip „Discord“, „Facebook“, „Instagram“, „X“ ir „YouTube“.
Išvada
Stargazer Goblin sukūrė labai sudėtingą kenkėjiškų programų platinimo operaciją, kuri sumaniai išvengia aptikimo, pasinaudodama GitHub kaip teisėtos svetainės reputacija. Šis metodas padeda išvengti įtarimų dėl kenkėjiškos veiklos ir sumažina žalą, kai įsikiša GitHub.
Naudodamas įvairias paskyras ir profilius įvairioms užduotims, pvz., saugyklų žymėjimui žvaigždutėmis, jų prieglobai, sukčiavimo šablonams ir kenkėjiškų leidimų prieglobai, „Stargazers Ghost Network“ gali apriboti savo nuostolius. Kai „GitHub“ sutrikdo jų veiklą, tai paprastai paveikia tik dalį tinklo, todėl likusi jų infrastruktūra gali toliau veikti su minimaliu poveikiu.