Тхреат Датабасе Malware Старгазерс Гхост Нетворк

Старгазерс Гхост Нетворк

Глумац претњи идентификован као Старгазер Гоблин створио је мрежу лажних ГитХуб налога да би покренуо операцију Дистрибутион-ас-а-Сервице (ДааС) која дистрибуира различите врсте малвера за крађу информација, зарађујући им 100.000 долара илегалне зараде током прошле године.

Ова мрежа, позната као Старгазерс Гхост Нетворк, укључује више од 3.000 налога на платформи за хостовање кодова заснованој на облаку и обухвата хиљаде складишта која се користе за дељење злонамерних веза и малвера.

Породице малвера које се шире кроз ову мрежу укључују Атлантида Стеалер, Рхадамантхис, РисеПро, Лумма Стеалер и РедЛине. Поред тога, лажни налози се баве активностима као што су стављање у главну улогу, раздвајање, гледање и претплата на ова злонамерна спремишта како би створили изглед легитимности.

Злонамерни налози који се представљају као нормални корисници

Верује се да је мрежа активна од августа 2022. у неком прелиминарном облику, иако реклама за ДааС није примећена у мраку све до почетка јула 2023. Актери претњи сада управљају мрежом налога „Дух“ који дистрибуирају малвер путем злонамерне везе на њиховим репозиторијумима и шифроване архиве као издање.

Ова мрежа не само да дистрибуира злонамерни софтвер већ пружа и разне друге активности које чине да се ови „Гхост“ налози појављују као нормални корисници, дајући лажни легитимитет њиховим радњама и повезаним репозиторијумима.

Различите категорије ГитХуб налога су одговорне за различите аспекте шеме у покушају да њихова инфраструктура буде отпорнија на напоре ГитХуб-а за уклањање када су злонамерни корисни терети означени на платформи.

Различите врсте налога које користе актери претњи

Мрежа користи различите типове налога за различите функције: неки налози управљају шаблонима складишта за крађу идентитета, други испоручују слике за ове шаблоне, а неки гурају злонамерни софтвер у спремишта у архивама заштићеним лозинком прерушеним у крекован софтвер или варалице за игре.

Ако ГитХуб открије и забрани трећи скуп налога, Старгазер Гоблин ажурира пхисхинг репозиторијум из првог скупа новом везом до активног злонамерног издања, минимизирајући оперативне поремећаје.

Поред тога што воле нова издања из више складишта и мењају везе за преузимање у датотекама РЕАДМЕ.мд, докази сугеришу да су неки налози на мрежи можда били компромитовани, а њихови акредитиви су вероватно добијени путем малвера за крађу.

Истраживачи обично откривају да налози Репоситори и Старгазер често остају нетакнути забранама и уклањањима складишта, док се налози Цоммит и Релеасе обично забрањују када се открију њихова злонамерна спремишта. Такође је уобичајено видети спремишта веза која садрже везе ка забрањеним репозиторијумима издања. Када се то догоди, повезани налог за урезивање ажурира злонамерну везу на нову.

Примењене су различите претње од малвера

Једна од кампања коју су открили стручњаци укључује злонамерну везу која води до ГитХуб спремишта. Ово спремиште упућује кориснике на ПХП скрипту хостовану на ВордПресс сајту, која затим испоручује датотеку ХТМЛ апликације (ХТА) за извршавање Атлантида Стеалер-а преко ПоверСхелл скрипте.

Поред Атлантида Стеалер-а, ДааС дистрибуира и друге породице малвера, укључујући Лумма Стеалер, РедЛине Стеалер, Рхадамантхис и РисеПро. Стручњаци су приметили да су ови ГитХуб налози део шире ДааС мреже која управља сличним „Гхост“ налозима на другим платформама као што су Дисцорд, Фацебоок, Инстаграм, Кс и ИоуТубе.

Закључак

Старгазер Гоблин је развио веома софистицирану операцију дистрибуције злонамерног софтвера која вешто избегава откривање користећи ГитХуб-ову репутацију као легитимну локацију. Овај приступ помаже у избегавању сумње у злонамерне активности и смањује штету када ГитХуб интервенише.

Користећи различите налоге и профиле за различите задатке – као што је стављање у звездице складишта, њихово хостовање, уређивање шаблона за пхисхинг и хостовање злонамерних издања – Старгазерс Гхост Нетворк може да ограничи њихове губитке. Када ГитХуб поремети њихове операције, то обично утиче само на део мреже, омогућавајући остатку њихове инфраструктуре да настави да функционише са минималним утицајем.

У тренду

Најгледанији

Учитавање...