Bedreigingsdatabase Malware Sterrenkijkers Ghost Network

Sterrenkijkers Ghost Network

Een bedreigingsacteur, geïdentificeerd als Stargazer Goblin, heeft een netwerk van valse GitHub-accounts gecreëerd om een Distribution-as-a-Service (DaaS)-operatie uit te voeren die verschillende soorten informatiestelende malware verspreidt, waarmee ze het afgelopen jaar $100.000 aan illegale winsten hebben verdiend.

Dit netwerk, bekend als het Stargazers Ghost Network, omvat meer dan 3.000 accounts op het cloudgebaseerde codehostingplatform en omvat duizenden opslagplaatsen die worden gebruikt om kwaadaardige links en malware te delen.

Malwarefamilies die via dit netwerk worden verspreid, zijn onder meer Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer en RedLine. Bovendien houden de nepaccounts zich bezig met activiteiten zoals het in de hoofdrol spelen, forken, kijken naar en zich abonneren op deze kwaadaardige opslagplaatsen om een schijn van legitimiteit te creëren.

Schadelijke accounts die zich voordoen als normale gebruikers

Er wordt aangenomen dat het netwerk in een of andere voorlopige vorm sinds augustus 2022 actief is, hoewel een advertentie voor de DaaS pas begin juli 2023 in het donker werd opgemerkt. De bedreigingsactoren beheren nu een netwerk van 'Ghost'-accounts die malware verspreiden via kwaadaardige links op hun repositories en gecodeerde archieven als release.

Dit netwerk verspreidt niet alleen malware, maar biedt ook verschillende andere activiteiten waardoor deze 'Ghost'-accounts als normale gebruikers verschijnen, waardoor hun acties en de bijbehorende repository's valse legitimiteit verlenen.

Verschillende categorieën GitHub-accounts zijn verantwoordelijk voor verschillende aspecten van het plan, in een poging hun infrastructuur veerkrachtiger te maken tegen de verwijderingsinspanningen van GitHub wanneer kwaadaardige payloads op het platform worden gemarkeerd.

Verschillende soorten accounts die worden gebruikt door de bedreigingsactoren

Het netwerk maakt gebruik van verschillende soorten accounts voor verschillende functies: sommige accounts beheren sjablonen voor phishing-repository's, andere leveren afbeeldingen voor deze sjablonen en sommige pushen malware naar de repository's in met een wachtwoord beveiligde archieven, vermomd als gekraakte software of cheats voor games.

Als GitHub de derde set accounts detecteert en verbiedt, werkt Stargazer Goblin de phishing-repository vanaf de eerste set bij met een nieuwe link naar een actieve kwaadaardige release, waardoor de operationele verstoring wordt geminimaliseerd.

Naast het leuk vinden van nieuwe releases uit meerdere repository's en het aanpassen van downloadlinks in de README.md-bestanden, zijn er aanwijzingen dat sommige accounts in het netwerk mogelijk zijn gecompromitteerd, waarbij hun inloggegevens waarschijnlijk zijn verkregen via stealer-malware.

Onderzoekers constateren doorgaans dat Repository- en Stargazer-accounts vaak niet worden beïnvloed door verboden en verwijderingen van repository's, terwijl Commit- en Release-accounts meestal worden verboden zodra hun kwaadaardige repository's worden ontdekt. Het is ook gebruikelijk om link-repository's te zien die links naar verboden release-repository's bevatten. Wanneer dit gebeurt, werkt het gekoppelde Commit-account de kwaadaardige link bij naar een nieuwe.

Verschillende malwarebedreigingen geïmplementeerd

Een van de door experts ontdekte campagnes betreft een kwaadaardige link die naar een GitHub-repository leidt. Deze repository leidt gebruikers naar een PHP-script dat wordt gehost op een WordPress-site, dat vervolgens een HTML-toepassingsbestand (HTA) levert om Atlantida Stealer uit te voeren via een PowerShell-script.

Naast Atlantida Stealer distribueert DaaS ook andere malwarefamilies, waaronder Lumma Stealer, RedLine Stealer, Rhadamanthys en RisePro. Deskundigen hebben opgemerkt dat deze GitHub-accounts deel uitmaken van een breder DaaS-netwerk dat vergelijkbare ‘Ghost’-accounts exploiteert op andere platforms zoals Discord, Facebook, Instagram, X en YouTube.

Conclusie

Stargazer Goblin heeft een zeer geavanceerde malwaredistributieoperatie ontwikkeld die op slimme wijze detectie omzeilt door gebruik te maken van de reputatie van GitHub als legitieme site. Deze aanpak helpt verdenking van kwaadwillige activiteiten te voorkomen en vermindert de schade wanneer GitHub ingrijpt.

Door een verscheidenheid aan accounts en profielen te gebruiken voor verschillende taken, zoals het toekennen van een hoofdrol aan repository's, het hosten ervan, het plegen van phishing-sjablonen en het hosten van kwaadaardige releases, kan het Stargazers Ghost Network hun verliezen beperken. Wanneer GitHub hun activiteiten verstoort, heeft dit doorgaans slechts invloed op een deel van het netwerk, waardoor de rest van hun infrastructuur met minimale impact kan blijven functioneren.

Trending

Meest bekeken

Bezig met laden...