Сеть призраков звездочетов
Злоумышленник, известный как Stargazer Goblin, создал сеть фейковых учетных записей GitHub для запуска операции «Распространение как услуга» (DaaS), которая распространяет различные типы вредоносных программ, крадущих информацию, что принесло им 100 000 долларов незаконной прибыли за последний год.
Эта сеть, известная как Stargazers Ghost Network, включает более 3000 учетных записей на облачной платформе размещения кода и охватывает тысячи репозиториев, используемых для обмена вредоносными ссылками и вредоносным ПО.
В этой сети распространены семейства вредоносных программ, включающие Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer и RedLine. Кроме того, фейковые учетные записи участвуют в таких действиях, как добавление в избранное, разветвление, просмотр и подписка на эти вредоносные репозитории, чтобы создать видимость легитимности.
Оглавление
Вредоносные учетные записи, выдающие себя за обычных пользователей
Предполагается, что в некоторой предварительной форме сеть была активна с августа 2022 года, хотя реклама DaaS не была замечена в темноте до начала июля 2023 года. В настоящее время злоумышленники управляют сетью «призрачных» учетных записей, которые распространяют вредоносное ПО через вредоносные ссылки на их репозитории и зашифрованные архивы по мере выпуска.
Эта сеть не только распространяет вредоносное ПО, но и осуществляет различные другие действия, благодаря которым эти «призрачные» учетные записи выглядят как обычные пользователи, придавая ложную легитимность их действиям и связанным с ними хранилищам.
Различные категории учетных записей GitHub отвечают за отдельные аспекты схемы, пытаясь сделать свою инфраструктуру более устойчивой к усилиям GitHub по удалению, когда на платформе помечаются вредоносные полезные данные.
Различные типы учетных записей, используемые злоумышленниками
В сети используются различные типы учетных записей для разных функций: одни учетные записи управляют шаблонами фишинговых репозиториев, другие предоставляют изображения для этих шаблонов, а третьи распространяют вредоносное ПО в репозитории в защищенных паролем архивах, замаскированных под взломанное программное обеспечение или игровые читы.
Если GitHub обнаружит и заблокирует третий набор учетных записей, Stargazer Goblin обновит фишинговый репозиторий из первого набора новой ссылкой на активную вредоносную версию, сводя к минимуму сбои в работе.
Помимо лайков новых выпусков из нескольких репозиториев и изменения ссылок для скачивания в файлах README.md, данные свидетельствуют о том, что некоторые учетные записи в сети могли быть скомпрометированы, а их учетные данные, вероятно, были получены с помощью вредоносного ПО-вора.
Исследователи обычно обнаруживают, что учетные записи Repository и Stargazer часто остаются незатронутыми банами и удалением репозиториев, тогда как учетные записи Commit и Release обычно блокируются после обнаружения их вредоносных репозиториев. Также часто можно увидеть репозитории ссылок, содержащие ссылки на запрещенные репозитории релизов. Когда это происходит, связанная учетная запись Commit обновляет вредоносную ссылку на новую.
Развернуты различные вредоносные угрозы
Одна из кампаний, раскрытых экспертами, включает вредоносную ссылку, ведущую на репозиторий GitHub. Этот репозиторий направляет пользователей к PHP-скрипту, размещенному на сайте WordPress, который затем доставляет файл HTML-приложения (HTA) для выполнения Atlantida Stealer через скрипт PowerShell.
Помимо Atlantida Stealer, DaaS также распространяет другие семейства вредоносных программ, включая Lumma Stealer, RedLine Stealer, Rhadamanthys и RisePro. Эксперты заметили, что эти учетные записи GitHub являются частью более широкой сети DaaS, которая управляет аналогичными «призрачными» учетными записями на других платформах, таких как Discord, Facebook, Instagram, X и YouTube.
Заключение
Stargazer Goblin разработал сложную операцию по распространению вредоносного ПО, которая ловко уклоняется от обнаружения, используя репутацию GitHub как законного сайта. Такой подход помогает избежать подозрений в вредоносной деятельности и снижает ущерб при вмешательстве GitHub.
Используя различные учетные записи и профили для различных задач, таких как пометка репозиториев, их размещение, размещение фишинговых шаблонов и размещение вредоносных выпусков, сеть Stargazers Ghost Network может ограничить свои потери. Когда GitHub нарушает их работу, это обычно затрагивает только часть сети, позволяя остальной части инфраструктуры продолжать функционировать с минимальными последствиями.