Stargazers Ghost Network

Një aktor kërcënimi i identifikuar si Stargazer Goblin ka krijuar një rrjet llogarish të rreme GitHub për të drejtuar një operacion Distribution-as-a-Service (DaaS) që shpërndan lloje të ndryshme të malware-ve që vjedhin informacione, duke u sjellë atyre 100,000 dollarë fitime të paligjshme gjatë vitit të kaluar.

Ky rrjet, i njohur si Stargazers Ghost Network, përfshin më shumë se 3000 llogari në platformën e pritjes së kodit të bazuar në cloud dhe përfshin mijëra depo të përdorura për të ndarë lidhje me qëllim të keq dhe malware.

Familjet e malware të përhapura përmes këtij rrjeti përfshijnë Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer dhe RedLine. Për më tepër, llogaritë e rreme angazhohen në aktivitete të tilla si vendosja e yjeve, forcimi, shikimi dhe abonimi në këto depo me qëllim të keq për të krijuar një pamje legjitimiteti.

Llogaritë me qëllim të keq që paraqiten si përdorues normalë

Rrjeti besohet se ka qenë aktiv që nga gushti 2022 në një formë paraprake, megjithëse një reklamë për DaaS nuk u vu re në errësirë deri në fillim të korrikut 2023. Aktorët e kërcënimit tani operojnë një rrjet llogarish 'Ghost' që shpërndajnë malware nëpërmjet lidhjet me qëllim të keq në depot e tyre dhe arkivat e koduara si lëshim.

Ky rrjet jo vetëm që shpërndan malware, por gjithashtu ofron aktivitete të tjera të ndryshme që i bëjnë këto llogari 'Ghost' të shfaqen si përdorues normalë, duke i dhënë legjitimitet të rremë veprimeve të tyre dhe depove të lidhura me to.

Kategoritë e ndryshme të llogarive GitHub janë përgjegjëse për aspekte të dallueshme të skemës në një përpjekje për ta bërë infrastrukturën e tyre më elastike ndaj përpjekjeve të heqjes nga GitHub kur ngarkesat me qëllim të keq shënohen në platformë.

Lloje të ndryshme llogarish të përdorura nga aktorët e kërcënimit

Rrjeti përdor lloje të ndryshme llogarish për funksione të ndryshme: disa llogari menaxhojnë shabllonet e depove të phishing, të tjera ofrojnë imazhe për këto shabllone dhe disa shtyjnë malware në depo në arkivat e mbrojtura me fjalëkalim të maskuar si softuer të thyer ose mashtrime të lojërave.

Nëse GitHub zbulon dhe ndalon grupin e tretë të llogarive, Stargazer Goblin përditëson depon e phishing nga grupi i parë me një lidhje të re në një lëshim aktiv me qëllim të keq, duke minimizuar ndërprerjen operacionale.

Përveç pëlqimit të publikimeve të reja nga depo të shumta dhe modifikimit të lidhjeve të shkarkimit në skedarët README.md, provat sugjerojnë se disa llogari në rrjet mund të jenë komprometuar, me kredencialet e tyre që ka të ngjarë të jenë marrë përmes malware vjedhës.

Studiuesit zakonisht zbulojnë se llogaritë e Repository dhe Stargazer shpesh mbeten të paprekura nga ndalimet dhe heqjet e depove, ndërsa llogaritë e Commit dhe Release zakonisht ndalohen pasi të zbulohen depot e tyre me qëllim të keq. Është gjithashtu e zakonshme të shohësh Depot e Lidhjeve që përmbajnë lidhje me Depot e Release-ve të ndaluara. Kur kjo ndodh, llogaria e lidhur e Commit përditëson lidhjen me qëllim të keq në një të re.

Kërcënime të ndryshme malware të vendosura

Një nga fushatat e zbuluara nga ekspertët përfshin një lidhje me qëllim të keq që çon në një depo GitHub. Ky depo i drejton përdoruesit te një skript PHP i vendosur në një sajt WordPress, i cili më pas jep një skedar HTML Application (HTA) për të ekzekutuar Atlantida Stealer nëpërmjet një skripti PowerShell.

Përveç Atlantida Stealer, DaaS shpërndan gjithashtu familje të tjera malware, duke përfshirë Lumma Stealer, RedLine Stealer, Rhadamanthys dhe RisePro. Ekspertët kanë vërejtur se këto llogari GitHub janë pjesë e një rrjeti më të gjerë DaaS që operon llogari të ngjashme 'Ghost' nëpër platforma të tjera si Discord, Facebook, Instagram, X dhe YouTube.

konkluzioni

Stargazer Goblin ka zhvilluar një operacion shumë të sofistikuar të shpërndarjes së malware që me zgjuarsi shmang zbulimin duke shfrytëzuar reputacionin e GitHub si një sajt legjitim. Kjo qasje ndihmon në shmangien e dyshimeve për aktivitete me qëllim të keq dhe zvogëlon dëmet kur GitHub ndërhyn.

Duke përdorur një sërë llogarish dhe profilesh për detyra të ndryshme—si p.sh. vendosja e depove me yll, pritja e tyre, kryerja e shablloneve të phishing dhe mbajtja e publikimeve me qëllim të keq—Rrjeti Ghost Stargazers mund të kufizojë humbjet e tyre. Kur GitHub ndërpret funksionimin e tyre, zakonisht prek vetëm një pjesë të rrjetit, duke lejuar që pjesa tjetër e infrastrukturës së tyre të vazhdojë të funksionojë me ndikim minimal.

Në trend

Më e shikuara

Po ngarkohet...