Hotdatabas Malware Stargazers Ghost Network

Stargazers Ghost Network

En hotaktör som identifierats som Stargazer Goblin har skapat ett nätverk av falska GitHub-konton för att driva en Distribution-as-a-Service (DaaS)-operation som distribuerar olika typer av informationsstöld skadlig programvara, vilket tjänat dem 100 000 $ i illegal vinst under det senaste året.

Detta nätverk, känt som Stargazers Ghost Network, inkluderar mer än 3 000 konton på den molnbaserade kodvärdplattformen och spänner över tusentals arkiv som används för att dela skadliga länkar och skadlig programvara.

Familjer med skadlig programvara som sprids genom detta nätverk inkluderar Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer och RedLine. Dessutom engagerar de falska kontona aktiviteter som att spela huvudrollen, dela, titta på och prenumerera på dessa skadliga arkiv för att skapa ett intryck av legitimitet.

Skadliga konton som utger sig som normala användare

Nätverket tros ha varit aktivt sedan augusti 2022 i någon preliminär form, även om en annons för DaaS inte sågs i mörkret förrän i början av juli 2023. Hotaktörerna driver nu ett nätverk av "Ghost"-konton som distribuerar skadlig programvara via skadliga länkar på deras arkiv och krypterade arkiv som release.

Detta nätverk distribuerar inte bara skadlig programvara utan tillhandahåller också olika andra aktiviteter som får dessa "Ghost"-konton att framstå som normala användare, vilket ger falsk legitimitet åt deras handlingar och de tillhörande arkiven.

Olika kategorier av GitHub-konton är ansvariga för distinkta aspekter av schemat i ett försök att göra deras infrastruktur mer motståndskraftig mot nedtagningsinsatser från GitHub när skadliga nyttolaster flaggas på plattformen.

Olika typer av konton som används av hotaktörerna

Nätverket använder olika typer av konton för olika funktioner: vissa konton hanterar mallar för nätfiskeförråd, andra tillhandahåller bilder för dessa mallar, och vissa skickar skadlig programvara till förråden i lösenordsskyddade arkiv förklädda som knäckt programvara eller spelfusk.

Om GitHub upptäcker och förbjuder den tredje uppsättningen konton, uppdaterar Stargazer Goblin nätfiskeförvaret från den första uppsättningen med en ny länk till en aktiv skadlig version, vilket minimerar driftstörningar.

Förutom att gilla nya utgåvor från flera arkiv och modifiera nedladdningslänkar i README.md-filerna, tyder bevis på att vissa konton i nätverket kan ha äventyrats, med deras autentiseringsuppgifter troligen erhållna genom skadlig programvara som stjäl.

Forskare upptäcker vanligtvis att Repository- och Stargazer-konton ofta förblir opåverkade av förbud och nedtagningar av arkiv, medan Commit- och Release-konton vanligtvis förbjuds när deras skadliga arkiv upptäcks. Det är också vanligt att se Link-Repositories som innehåller länkar till förbjudna Release-Repositories. När detta händer uppdaterar det associerade Commit-kontot den skadliga länken till en ny.

Olika hot mot skadlig programvara

En av kampanjerna som upptäckts av experter involverar en skadlig länk som leder till ett GitHub-förråd. Detta arkiv leder användarna till ett PHP-skript som finns på en WordPress-webbplats, som sedan levererar en HTML Application (HTA) fil för att exekvera Atlantida Stealer via ett PowerShell-skript.

Förutom Atlantida Stealer distribuerar DaaS även andra skadliga programfamiljer, inklusive Lumma Stealer, RedLine Stealer, Rhadamanthys och RisePro. Experter har observerat att dessa GitHub-konton är en del av ett bredare DaaS-nätverk som driver liknande "Ghost"-konton på andra plattformar som Discord, Facebook, Instagram, X och YouTube.

Slutsats

Stargazer Goblin har utvecklat en mycket sofistikerad distribution av skadlig programvara som på ett smart sätt undviker upptäckt genom att utnyttja GitHubs rykte som en legitim webbplats. Detta tillvägagångssätt hjälper till att undvika misstankar om skadliga aktiviteter och minskar skador när GitHub ingriper.

Genom att använda en mängd olika konton och profiler för olika uppgifter – som att stjärnmärka förråd, vara värd för dem, begå nätfiskemallar och vara värd för skadliga utgåvor – kan Stargazers Ghost Network begränsa deras förluster. När GitHub stör deras verksamhet påverkar det vanligtvis bara en del av nätverket, vilket gör att resten av deras infrastruktur kan fortsätta att fungera med minimal påverkan.

Trendigt

Mest sedda

Läser in...