Draudu datu bāze Malware Stargazers Ghost tīkls

Stargazers Ghost tīkls

Apdraudējuma aktieris, kas identificēts kā Stargazer Goblin, ir izveidojis viltotu GitHub kontu tīklu, lai vadītu operāciju Distribution-as-a-Service (DaaS), kas izplata dažāda veida informāciju zog ļaunprātīgu programmatūru, pēdējā gada laikā nopelnot 100 000 USD nelikumīgu peļņu.

Šis tīkls, kas pazīstams kā Stargazers Ghost Network, ietver vairāk nekā 3000 kontu mākoņa koda mitināšanas platformā un aptver tūkstošiem repozitoriju, ko izmanto, lai kopīgotu ļaunprātīgas saites un ļaunprātīgu programmatūru.

Šajā tīklā izplatītās ļaunprātīgas programmatūras ģimenes ir Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer un RedLine. Turklāt viltotie konti iesaistās tādās aktivitātēs kā iezīmēšana ar zvaigznēm, dakša, skatīšanās un šo ļaunprātīgo krātuvju abonēšana, lai radītu iespaidu par likumību.

Ļaunprātīgi konti, kas uzdodas par parastiem lietotājiem

Tiek uzskatīts, ka tīkls zināmā mērā ir bijis aktīvs kopš 2022. gada augusta, lai gan DaaS reklāma tika pamanīta tumsā līdz 2023. gada jūlija sākumam. Tagad draudu dalībnieki pārvalda “Ghost” kontu tīklu, kas izplata ļaunprātīgu programmatūru, izmantojot ļaunprātīgas saites savos krātuvēs un šifrētajos arhīvos.

Šis tīkls ne tikai izplata ļaunprātīgu programmatūru, bet arī nodrošina dažādas citas darbības, kas liek šiem "Ghost" kontiem parādīties kā parastiem lietotājiem, piešķirot viltus leģitimitāti viņu darbībām un saistītajām krātuvēm.

Dažādas GitHub kontu kategorijas ir atbildīgas par atsevišķiem shēmas aspektiem, cenšoties padarīt to infrastruktūru noturīgāku pret GitHub veiktajiem noņemšanas centieniem, kad platformā tiek atzīmētas ļaunprātīgas slodzes.

Dažādu veidu konti, ko izmanto draudu dalībnieki

Tīkls izmanto dažādu veidu kontus dažādām funkcijām: daži konti pārvalda pikšķerēšanas repozitorija veidnes, citi nodrošina šo veidņu attēlus, un daži nosūta ļaunprātīgu programmatūru uz krātuvēm ar paroli aizsargātos arhīvos, kas tiek slēpta kā uzlauzta programmatūra vai spēļu krāpšanās.

Ja GitHub konstatē un aizliedz trešo kontu kopu, Stargazer Goblin atjaunina pikšķerēšanas repozitoriju no pirmās kopas ar jaunu saiti uz aktīvu ļaunprātīgu laidienu, tādējādi samazinot darbības traucējumus.

Papildus tam, ka patīk jauni laidieni no vairākām krātuvēm un tiek mainītas lejupielādes saites failos README.md, pierādījumi liecina, ka daži konti tīklā, iespējams, ir apdraudēti, un to akreditācijas dati, iespējams, iegūti, izmantojot ļaunprātīgu programmatūru.

Pētnieki parasti konstatē, ka repozitoriju un Stargazer kontus bieži neietekmē aizliegumi un repozitoriju noņemšana, savukārt Commit and Release konti parasti tiek aizliegti, tiklīdz tiek atklāti to ļaunprātīgās krātuves. Bieži tiek rādītas arī saišu krātuves, kurās ir saites uz aizliegtām laidienu krātuvēm. Ja tas notiek, saistītais Commit konts atjaunina ļaunprātīgo saiti uz jaunu.

Izvērsti dažādi ļaunprātīgas programmatūras draudi

Viena no kampaņām, ko atklājuši eksperti, ietver ļaunprātīgu saiti, kas ved uz GitHub repozitoriju. Šī krātuve novirza lietotājus uz WordPress vietnē mitinātu PHP skriptu, kas pēc tam piegādā HTML lietojumprogrammas (HTA) failu, lai izpildītu Atlantida Stealer, izmantojot PowerShell skriptu.

Papildus Atlantida Stealer DaaS izplata arī citas ļaunprātīgas programmatūras ģimenes, tostarp Lumma Stealer, RedLine Stealer, Rhadamanthys un RisePro. Eksperti ir novērojuši, ka šie GitHub konti ir daļa no plašāka DaaS tīkla, kas pārvalda līdzīgus “Ghost” kontus citās platformās, piemēram, Discord, Facebook, Instagram, X un YouTube.

Secinājums

Stargazer Goblin ir izstrādājis ļoti sarežģītu ļaunprātīgas programmatūras izplatīšanas darbību, kas gudri izvairās no atklāšanas, izmantojot GitHub kā likumīgas vietnes reputāciju. Šī pieeja palīdz izvairīties no aizdomām par ļaunprātīgām darbībām un samazina bojājumus, kad GitHub iejaucas.

Izmantojot dažādus kontus un profilus dažādiem uzdevumiem, piemēram, repozitoriju atzīmēšanai ar zvaigznītēm, to mitināšanai, pikšķerēšanas veidņu izmantošanai un ļaunprātīgu izlaidumu mitināšanai, Stargazers Ghost Network var ierobežot savus zaudējumus. Kad GitHub traucē viņu darbību, tas parasti ietekmē tikai daļu no tīkla, ļaujot pārējai viņu infrastruktūrai turpināt darboties ar minimālu ietekmi.

Tendences

Visvairāk skatīts

Notiek ielāde...