Podjetje o grožnjah Malware Stargazers Ghost Network

Stargazers Ghost Network

Nevarni akter, identificiran kot Stargazer Goblin, je ustvaril mrežo lažnih računov GitHub za izvajanje operacije Distribution-as-a-Service (DaaS), ki distribuira različne vrste zlonamerne programske opreme, ki krade informacije, in jim v preteklem letu prinesla 100.000 $ nezakonitega dobička.

To omrežje, znano kot Stargazers Ghost Network, vključuje več kot 3000 računov na platformi za gostovanje kode v oblaku in se razteza na tisoče repozitorijev, ki se uporabljajo za skupno rabo zlonamernih povezav in zlonamerne programske opreme.

Družine zlonamerne programske opreme, ki se širijo po tem omrežju, vključujejo Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer in RedLine. Poleg tega se lažni računi ukvarjajo z dejavnostmi, kot so prikazovanje, odcepitev, gledanje in naročanje na te zlonamerne repozitorije, da ustvarijo videz legitimnosti.

Zlonamerni računi, ki se predstavljajo kot običajni uporabniki

Omrežje naj bi bilo v neki predhodni obliki aktivno od avgusta 2022, čeprav oglas za DaaS ni bil opažen v temi do začetka julija 2023. Akterji groženj zdaj upravljajo omrežje računov »Ghost«, ki distribuirajo zlonamerno programsko opremo prek zlonamerne povezave v njihovih repozitorijih in šifriranih arhivih kot izdaja.

To omrežje ne distribuira samo zlonamerne programske opreme, ampak zagotavlja tudi različne druge dejavnosti, zaradi katerih so ti računi 'duhovi' prikazani kot običajni uporabniki, kar daje lažno legitimnost njihovim dejanjem in povezanim skladiščem.

Različne kategorije računov GitHub so odgovorne za različne vidike sheme v poskusu, da bi bila njihova infrastruktura bolj odporna na prizadevanja GitHub za odstranitev, ko so na platformi označeni zlonamerni koristni tovori.

Različne vrste računov, ki jih uporabljajo akterji groženj

Omrežje uporablja različne vrste računov za različne funkcije: nekateri računi upravljajo predloge skladišč lažnega predstavljanja, drugi zagotavljajo slike za te predloge, nekateri pa potisnejo zlonamerno programsko opremo v skladišča v arhivih, zaščitenih z geslom, prikrito kot vlomljena programska oprema ali goljufanje iger.

Če GitHub zazna in prepove tretji niz računov, Stargazer Goblin posodobi lažno odlagališče iz prvega niza z novo povezavo do aktivne zlonamerne izdaje, kar zmanjša motnje delovanja.

Poleg všečkanja novih izdaj iz več repozitorijev in spreminjanja povezav za prenos v datotekah README.md dokazi kažejo, da so bili nekateri računi v omrežju morda ogroženi, pri čemer so bile njihove poverilnice verjetno pridobljene prek zlonamerne programske opreme.

Raziskovalci običajno ugotovijo, da na račune Repository in Stargazer prepovedi in odstranitve skladišč pogosto ne vplivajo, medtem ko so računi Commit in Release običajno prepovedani, ko so odkriti njihovi zlonamerni repozitoriji. Prav tako je pogosto videti repozitorije povezav, ki vsebujejo povezave do prepovedanih repozitorijev izdaj. Ko se to zgodi, povezani račun Commit posodobi zlonamerno povezavo na novo.

Razporejene so različne grožnje zlonamerne programske opreme

Ena od kampanj, ki so jo odkrili strokovnjaki, vključuje zlonamerno povezavo, ki vodi do repozitorija GitHub. To skladišče usmerja uporabnike na skript PHP, ki gostuje na spletnem mestu WordPress, ki nato dostavi datoteko aplikacije HTML (HTA) za izvajanje Atlantida Stealer prek skripta PowerShell.

Poleg Atlantida Stealer DaaS distribuira tudi druge družine zlonamerne programske opreme, vključno z Lumma Stealer, RedLine Stealer, Rhadamanthys in RisePro. Strokovnjaki so opazili, da so ti računi GitHub del širšega omrežja DaaS, ki upravlja podobne račune 'Ghost' na drugih platformah, kot so Discord, Facebook, Instagram, X in YouTube.

Zaključek

Stargazer Goblin je razvil zelo sofisticirano operacijo distribucije zlonamerne programske opreme, ki se spretno izogne odkrivanju z izkoriščanjem ugleda GitHub-a kot legitimnega mesta. Ta pristop pomaga preprečiti sum zlonamernih dejavnosti in zmanjša škodo, ko posreduje GitHub.

Z uporabo različnih računov in profilov za različne naloge – kot je označevanje repozitorijev z zvezdico, njihovo gostovanje, izvajanje predlog za lažno predstavljanje in gostovanje zlonamernih izdaj – lahko Stargazers Ghost Network omeji svoje izgube. Ko GitHub prekine njihovo delovanje, to običajno vpliva le na del omrežja, kar omogoča, da preostala njihova infrastruktura še naprej deluje z minimalnim vplivom.

V trendu

Najbolj gledan

Nalaganje...