Stargazers Ghost Network
Un actor de amenințări identificat ca Stargazer Goblin a creat o rețea de conturi false GitHub pentru a rula o operațiune de distribuție ca serviciu (DaaS) care distribuie diferite tipuri de malware care fură informații, câștigându-le 100.000 de dolari în profituri ilegale în ultimul an.
Această rețea, cunoscută sub numele de Stargazers Ghost Network, include peste 3.000 de conturi pe platforma de găzduire a codurilor bazată pe cloud și se întinde pe mii de depozite utilizate pentru a partaja link-uri și programe malware.
Familiile de programe malware răspândite prin această rețea includ Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer și RedLine. În plus, conturile false se angajează în activități precum marcarea cu stea, bifurcarea, vizionarea și abonarea la aceste depozite rău intenționate pentru a crea o aparență de legitimitate.
Cuprins
Conturi rău intenționate care se prezintă drept utilizatori normali
Se crede că rețeaua a fost activă din august 2022 într-o formă preliminară, deși o reclamă pentru DaaS nu a fost văzută în întuneric până la începutul lunii iulie 2023. Actorii amenințărilor operează acum o rețea de conturi „Ghost” care distribuie malware prin intermediul link-uri rău intenționate în depozitele lor și arhivele criptate ca lansare.
Această rețea nu numai că distribuie malware, dar oferă și diverse alte activități care fac ca aceste conturi „Ghost” să pară ca utilizatori obișnuiți, dând o legitimitate falsă acțiunilor lor și depozitelor asociate.
Diferitele categorii de conturi GitHub sunt responsabile pentru aspecte distincte ale schemei, în încercarea de a face infrastructura lor mai rezistentă la eforturile de eliminare de către GitHub atunci când încărcăturile utile rău intenționate sunt semnalate pe platformă.
Diferite tipuri de conturi utilizate de actorii amenințărilor
Rețeaua folosește diferite tipuri de conturi pentru diferite funcții: unele conturi gestionează șabloane de depozit de phishing, altele furnizează imagini pentru aceste șabloane, iar unele împing malware în depozite în arhive protejate cu parolă deghizate în software spart sau trucuri de jocuri.
Dacă GitHub detectează și interzice al treilea set de conturi, Stargazer Goblin actualizează depozitul de phishing din primul set cu un nou link către o ediție rău intenționată activă, minimizând întreruperile operaționale.
Pe lângă faptul că le plac noile versiuni din mai multe depozite și că modifică legăturile de descărcare din fișierele README.md, dovezile sugerează că unele conturi din rețea ar fi putut fi compromise, acreditările lor probabil obținute prin malware furat.
Cercetătorii constată de obicei că conturile Repository și Stargazer rămân adesea neafectate de interdicții și eliminarea depozitelor, în timp ce conturile Commit și Release sunt de obicei interzise odată ce depozitele lor rău intenționate sunt descoperite. De asemenea, este obișnuit să vezi Link-Repositories care conțin link-uri către Release-Repositories interzise. Când se întâmplă acest lucru, contul Commit asociat actualizează linkul rău intenționat la unul nou.
Au fost implementate diverse amenințări malware
Una dintre campaniile descoperite de experți implică o legătură rău intenționată care duce la un depozit GitHub. Acest depozit direcționează utilizatorii către un script PHP găzduit pe un site WordPress, care apoi furnizează un fișier HTML Application (HTA) pentru a executa Atlantida Stealer printr-un script PowerShell.
Pe lângă Atlantida Stealer, DaaS distribuie și alte familii de malware, inclusiv Lumma Stealer, RedLine Stealer, Rhadamanthys și RisePro. Experții au observat că aceste conturi GitHub fac parte dintr-o rețea DaaS mai largă care operează conturi similare „Ghost” pe alte platforme precum Discord, Facebook, Instagram, X și YouTube.
Concluzie
Stargazer Goblin a dezvoltat o operațiune de distribuție a programelor malware extrem de sofisticate, care evită în mod inteligent detectarea, valorificând reputația GitHub ca site legitim. Această abordare ajută la evitarea suspiciunii de activități rău intenționate și reduce daunele atunci când intervine GitHub.
Folosind o varietate de conturi și profiluri pentru diferite sarcini - cum ar fi marcarea depozitelor cu stea, găzduirea acestora, comiterea șabloanelor de phishing și găzduirea versiunilor rău intenționate - Stargazers Ghost Network poate limita pierderile acestora. Când GitHub le întrerupe operațiunile, de obicei afectează doar o parte a rețelei, permițând restului infrastructurii lor să continue să funcționeze cu un impact minim.