Sieć duchów Stargazers
Osoba zagrażająca zidentyfikowana jako Stargazer Goblin stworzyła sieć fałszywych kont GitHub w celu prowadzenia operacji dystrybucji jako usługi (DaaS), która dystrybuuje różne typy złośliwego oprogramowania kradnącego informacje, przynosząc mu w zeszłym roku nielegalne zyski w wysokości 100 000 dolarów.
Sieć ta, znana jako Stargazers Ghost Network, obejmuje ponad 3000 kont na platformie hostującej kod w chmurze i tysiące repozytoriów używanych do udostępniania złośliwych łączy i złośliwego oprogramowania.
Do rodzin złośliwego oprogramowania rozprzestrzeniających się za pośrednictwem tej sieci należą Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer i RedLine. Ponadto fałszywe konta angażują się w takie działania, jak oznaczanie gwiazdkami, rozwidlanie, oglądanie i subskrybowanie tych złośliwych repozytoriów, aby stworzyć pozory legalności.
Spis treści
Złośliwe konta udające zwykłych użytkowników
Uważa się, że sieć ta była aktywna od sierpnia 2022 r. we wstępnej formie, chociaż reklamę DaaS wykryto w ciemności dopiero na początku lipca 2023 r. Przestępcy obsługują obecnie sieć kont „Ghost”, które dystrybuują złośliwe oprogramowanie za pośrednictwem złośliwe linki w swoich repozytoriach i zaszyfrowanych archiwach w momencie wydania.
Sieć ta nie tylko rozpowszechnia złośliwe oprogramowanie, ale także zapewnia różne inne działania, które sprawiają, że konta „Ghost” wyglądają jak zwykli użytkownicy, co nadaje fałszywą legitymizację ich działaniom i powiązanym repozytoriam.
Różne kategorie kont GitHub są odpowiedzialne za różne aspekty schematu, próbując zwiększyć odporność ich infrastruktury na próby usunięcia przez GitHub, gdy na platformie zostaną oznaczone złośliwe ładunki.
Różne typy kont wykorzystywane przez podmioty zagrażające
W sieci wykorzystywane są różne typy kont o różnych funkcjach: niektóre konta zarządzają szablonami repozytoriów phishingu, inne dostarczają obrazy do tych szablonów, a jeszcze inne przesyłają złośliwe oprogramowanie do repozytoriów w archiwach chronionych hasłem pod postacią złamanego oprogramowania lub kodów do gier.
Jeśli GitHub wykryje i zablokuje trzeci zestaw kont, Stargazer Goblin aktualizuje repozytorium phishingowe z pierwszego zestawu nowym linkiem do aktywnej szkodliwej wersji, minimalizując zakłócenia w działaniu.
Oprócz lubienia nowych wersji z wielu repozytoriów i modyfikowania łączy do pobierania w plikach README.md, dowody sugerują, że niektóre konta w sieci mogły zostać przejęte, a ich dane uwierzytelniające prawdopodobnie zostały uzyskane za pomocą złośliwego oprogramowania kradnącego.
Badacze zazwyczaj stwierdzają, że konta Repository i Stargazer często pozostają niewrażliwe na bany i usunięcia repozytoriów, podczas gdy konta Commit i Release są zwykle blokowane po wykryciu ich złośliwych repozytoriów. Często zdarza się, że repozytoria linków zawierają linki do zakazanych repozytoriów wydań. Gdy tak się stanie, powiązane konto Commit aktualizuje złośliwe łącze do nowego.
Zastosowano różne zagrożenia złośliwym oprogramowaniem
Jedna z kampanii wykrytych przez ekspertów dotyczy złośliwego łącza prowadzącego do repozytorium GitHub. To repozytorium kieruje użytkowników do skryptu PHP hostowanego w witrynie WordPress, który następnie dostarcza plik aplikacji HTML (HTA) w celu uruchomienia Atlantida Stealer za pomocą skryptu PowerShell.
Oprócz Atlantida Stealer, DaaS dystrybuuje także inne rodziny szkodliwego oprogramowania, w tym Lumma Stealer, RedLine Stealer, Rhadamanthys i RisePro. Eksperci zaobserwowali, że te konta GitHub są częścią szerszej sieci DaaS, która obsługuje podobne konta „Ghost” na innych platformach, takich jak Discord, Facebook, Instagram, X i YouTube.
Wniosek
Stargazer Goblin opracował wysoce wyrafinowaną operację dystrybucji złośliwego oprogramowania, która sprytnie unika wykrycia, wykorzystując reputację GitHub jako legalnej witryny. Takie podejście pomaga uniknąć podejrzeń o złośliwe działania i zmniejsza szkody w przypadku interwencji GitHub.
Używając różnych kont i profili do różnych zadań — takich jak oznaczanie repozytoriów gwiazdką, hostowanie ich, wykorzystywanie szablonów phishingowych i hostowanie złośliwych wydań — sieć Stargazers Ghost Network może ograniczyć swoje straty. Kiedy GitHub zakłóca ich działanie, zwykle wpływa to tylko na część sieci, umożliwiając pozostałej infrastrukturze dalsze funkcjonowanie przy minimalnym wpływie.