Stargazers Ghost Network
Aktér hrozieb identifikovaný ako Stargazer Goblin vytvoril sieť falošných účtov GitHub, aby spustil operáciu Distribution-as-a-Service (DaaS), ktorá distribuuje rôzne typy malvéru kradnúceho informácie, čím im za posledný rok zarobil 100 000 dolárov na nelegálnych ziskoch.
Táto sieť, známa ako Stargazers Ghost Network, zahŕňa viac ako 3 000 účtov na cloudovej platforme na hosťovanie kódu a pokrýva tisíce úložísk používaných na zdieľanie škodlivých odkazov a malvéru.
Medzi rodiny škodlivého softvéru šírené prostredníctvom tejto siete patria Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer a RedLine. Okrem toho sa falošné účty zapájajú do aktivít, ako je označovanie hviezd, videnie, sledovanie a prihlásenie sa na odber týchto škodlivých úložísk, aby vytvorili dojem legitimity.
Obsah
Škodlivé účty vystupujúce ako bežní používatelia
Predpokladá sa, že sieť bola aktívna od augusta 2022 v určitej predbežnej forme, hoci reklama na DaaS nebola spozorovaná v tme až do začiatku júla 2023. Aktéri hrozby teraz prevádzkujú sieť účtov „Ghost“, ktoré distribuujú malvér prostredníctvom škodlivé odkazy na ich úložiská a šifrované archívy ako vydanie.
Táto sieť nielenže distribuuje malvér, ale poskytuje aj rôzne ďalšie aktivity, vďaka ktorým sa tieto účty „duchov“ javia ako bežní používatelia, čo ich činnostiam a súvisiacim úložiskám dodáva falošnú legitimitu.
Rôzne kategórie účtov GitHub sú zodpovedné za odlišné aspekty schémy v snahe zabezpečiť, aby bola ich infraštruktúra odolnejšia voči snahám GitHub o odstránenie, keď sú na platforme označené škodlivé užitočné zaťaženia.
Rôzne typy účtov využívaných aktérmi hrozieb
Sieť využíva rôzne typy účtov pre rôzne funkcie: niektoré účty spravujú šablóny phishingových úložísk, iné dodávajú obrázky pre tieto šablóny a niektoré posielajú malvér do úložísk v archívoch chránených heslom, ktoré sa maskujú ako cracknutý softvér alebo cheaty na hry.
Ak GitHub zistí a zablokuje tretiu skupinu účtov, Stargazer Goblin aktualizuje phishingové úložisko z prvej sady novým odkazom na aktívne škodlivé vydanie, čím sa minimalizuje prerušenie prevádzky.
Okrem toho, že sa vám páčia nové vydania z viacerých úložísk a upravovali odkazy na stiahnutie v súboroch README.md, dôkazy naznačujú, že niektoré účty v sieti mohli byť kompromitované, pričom ich prihlasovacie údaje boli pravdepodobne získané prostredníctvom škodlivého softvéru.
Výskumníci zvyčajne zisťujú, že účty Repository a Stargazer často zostanú nedotknuté zákazmi a zrušením úložiska, zatiaľ čo účty Commit a Release sú zvyčajne zakázané, keď sa objavia ich škodlivé úložiská. Bežne sa tiež zobrazujú úložiská odkazov, ktoré obsahujú odkazy na zakázané úložiská vydaní. Keď k tomu dôjde, pridružený účet Commit aktualizuje škodlivý odkaz na nový.
Nasadené rôzne malvérové hrozby
Jedna z kampaní, ktoré odhalili odborníci, zahŕňa škodlivý odkaz vedúci k úložisku GitHub. Toto úložisko nasmeruje používateľov na skript PHP hostený na stránke WordPress, ktorý potom doručí súbor aplikácie HTML (HTA) na spustenie Atlantida Stealer prostredníctvom skriptu PowerShell.
Okrem Atlantida Stealer distribuuje DaaS aj ďalšie rodiny malvéru vrátane Lumma Stealer, RedLine Stealer, Rhadamanthys a RisePro. Odborníci zistili, že tieto účty GitHub sú súčasťou širšej siete DaaS, ktorá prevádzkuje podobné účty „Ghost“ na iných platformách, ako sú Discord, Facebook, Instagram, X a YouTube.
Záver
Stargazer Goblin vyvinul vysoko sofistikovanú operáciu distribúcie malvéru, ktorá sa šikovne vyhýba detekcii využívaním reputácie GitHubu ako legitímnej stránky. Tento prístup pomáha vyhnúť sa podozreniu zo škodlivých aktivít a znižuje škody, keď GitHub zasiahne.
Používaním rôznych účtov a profilov na rôzne úlohy – ako je označovanie úložísk hviezdičkou, ich hosťovanie, páchanie phishingových šablón a hosťovanie škodlivých vydaní – môže sieť Stargazers Ghost Network obmedziť ich straty. Keď GitHub naruší ich prevádzku, zvyčajne to ovplyvní iba časť siete, čo umožní zvyšku ich infraštruktúry pokračovať vo fungovaní s minimálnym dopadom.