Stargazers Ghost Network
En trusselaktør identifisert som Stargazer Goblin har opprettet et nettverk av falske GitHub-kontoer for å drive en Distribution-as-a-Service (DaaS)-operasjon som distribuerer ulike typer informasjonsstjelende skadelig programvare, og har tjent dem $100 000 i ulovlig fortjeneste det siste året.
Dette nettverket, kjent som Stargazers Ghost Network, inkluderer mer enn 3000 kontoer på den skybaserte kodevertsplattformen og spenner over tusenvis av depoter som brukes til å dele ondsinnede lenker og skadelig programvare.
Malware-familier spredt gjennom dette nettverket inkluderer Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer og RedLine. I tillegg engasjerer de falske kontoene aktiviteter som å spille hovedrollen, splitte, se på og abonnere på disse ondsinnede depotene for å skape et utseende av legitimitet.
Innholdsfortegnelse
Ondsinnede kontoer som utgir seg for å være normale brukere
Nettverket antas å ha vært aktivt siden august 2022 i en eller annen foreløpig form, selv om en reklame for DaaS ikke ble oppdaget i mørket før tidlig i juli 2023. Trusselaktørene driver nå et nettverk av 'Ghost'-kontoer som distribuerer skadevare via ondsinnede lenker på deres depoter og krypterte arkiver som utgivelse.
Dette nettverket distribuerer ikke bare skadelig programvare, men tilbyr også forskjellige andre aktiviteter som får disse "Ghost"-kontoene til å fremstå som normale brukere, og gir falsk legitimitet til handlingene deres og de tilhørende depotene.
Ulike kategorier av GitHub-kontoer er ansvarlige for forskjellige aspekter av ordningen i et forsøk på å gjøre infrastrukturen deres mer motstandsdyktig mot fjerningsarbeid fra GitHub når ondsinnede nyttelaster flagges på plattformen.
Ulike typer kontoer som brukes av trusselaktørene
Nettverket bruker ulike typer kontoer for forskjellige funksjoner: noen kontoer administrerer phishing-depotmaler, andre leverer bilder for disse malene, og noen sender skadevare til lagrene i passordbeskyttede arkiver forkledd som cracket programvare eller spilljukser.
Hvis GitHub oppdager og forbyr det tredje settet med kontoer, oppdaterer Stargazer Goblin phishing-depotet fra det første settet med en ny lenke til en aktiv ondsinnet utgivelse, og minimerer driftsavbrudd.
I tillegg til å like nye utgivelser fra flere depoter og endre nedlastingskoblinger i README.md-filene, tyder bevis på at noen kontoer i nettverket kan ha blitt kompromittert, med legitimasjonen deres sannsynligvis oppnådd gjennom tyverisk skadelig programvare.
Forskere finner vanligvis at Repository- og Stargazer-kontoer ofte forblir upåvirket av forbud og fjerning av lagringssteder, mens Commit and Release-kontoer vanligvis blir forbudt når de skadelige depotene deres blir oppdaget. Det er også vanlig å se Link-Repositories som inneholder lenker til forbudte Release-Repositories. Når dette skjer, oppdaterer den tilknyttede Commit-kontoen den skadelige koblingen til en ny.
Ulike trusler om skadelig programvare utplassert
En av kampanjene avdekket av eksperter involverer en ondsinnet kobling som fører til et GitHub-depot. Dette depotet leder brukere til et PHP-skript som er vert på et WordPress-nettsted, som deretter leverer en HTML-applikasjonsfil (HTA) for å kjøre Atlantida Stealer via et PowerShell-skript.
I tillegg til Atlantida Stealer, distribuerer DaaS også andre skadevarefamilier, inkludert Lumma Stealer, RedLine Stealer, Rhadamanthys og RisePro. Eksperter har observert at disse GitHub-kontoene er en del av et bredere DaaS-nettverk som driver lignende 'Ghost'-kontoer på tvers av andre plattformer som Discord, Facebook, Instagram, X og YouTube.
Konklusjon
Stargazer Goblin har utviklet en svært sofistikert distribusjon av skadelig programvare som på en smart måte unngår oppdagelse ved å utnytte GitHubs rykte som et legitimt nettsted. Denne tilnærmingen bidrar til å unngå mistanke om ondsinnede aktiviteter og reduserer skade når GitHub griper inn.
Ved å bruke en rekke kontoer og profiler for forskjellige oppgaver – for eksempel å stjernerepositorier, hoste dem, begå phishing-maler og hoste ondsinnede utgivelser – kan Stargazers Ghost Network begrense tapene deres. Når GitHub forstyrrer driften deres, påvirker det vanligvis bare en del av nettverket, slik at resten av infrastrukturen deres kan fortsette å fungere med minimal påvirkning.