ฐานข้อมูลภัยคุกคาม Malware เครือข่ายผีสตาร์เกเซอร์

เครือข่ายผีสตาร์เกเซอร์

ผู้ก่อภัยคุกคามที่ระบุว่าเป็น Stargazer Goblin ได้สร้างเครือข่ายบัญชี GitHub ปลอมเพื่อดำเนินการ Distribution-as-a-Service (DaaS) ซึ่งกระจายมัลแวร์ขโมยข้อมูลประเภทต่างๆ สร้างรายได้ 100,000 ดอลลาร์จากผลกำไรที่ผิดกฎหมายในปีที่ผ่านมา

เครือข่ายนี้เรียกว่า Stargazers Ghost Network ประกอบด้วยบัญชีมากกว่า 3,000 บัญชีบนแพลตฟอร์มโฮสติ้งรหัสบนคลาวด์ และครอบคลุมพื้นที่เก็บข้อมูลหลายพันแห่งที่ใช้ในการแบ่งปันลิงก์ที่เป็นอันตรายและมัลแวร์

กลุ่มมัลแวร์ที่แพร่กระจายผ่านเครือข่ายนี้ ได้แก่ Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer และ RedLine นอกจากนี้ บัญชีปลอมยังมีส่วนร่วมในกิจกรรมต่างๆ เช่น การแสดง การฟอร์ก การรับชม และการสมัครรับพื้นที่เก็บข้อมูลที่เป็นอันตรายเหล่านี้ เพื่อสร้างรูปลักษณ์ที่ชอบธรรม

บัญชีที่เป็นอันตรายที่ปลอมตัวเป็นผู้ใช้ปกติ

เชื่อกันว่าเครือข่ายเปิดใช้งานมาตั้งแต่เดือนสิงหาคม 2565 ในรูปแบบเบื้องต้น แม้ว่าจะไม่เห็นโฆษณา DaaS ในความมืดจนกระทั่งต้นเดือนกรกฎาคม 2566 ก็ตาม ขณะนี้ผู้แสดงภัยคุกคามดำเนินการเครือข่ายบัญชี 'Ghost' ที่เผยแพร่มัลแวร์ผ่าน ลิงก์ที่เป็นอันตรายบนที่เก็บและไฟล์เก็บถาวรที่เข้ารหัสเมื่อเผยแพร่

เครือข่ายนี้ไม่เพียงแต่แพร่กระจายมัลแวร์เท่านั้น แต่ยังจัดกิจกรรมอื่นๆ มากมายที่ทำให้บัญชี 'Ghost' เหล่านี้ปรากฏเป็นผู้ใช้ปกติ โดยให้ยืมความชอบธรรมปลอมในการกระทำของพวกเขาและที่เก็บข้อมูลที่เกี่ยวข้อง

บัญชี GitHub ประเภทต่างๆ มีหน้าที่รับผิดชอบในแง่มุมที่แตกต่างกันของโครงการในความพยายามที่จะทำให้โครงสร้างพื้นฐานมีความยืดหยุ่นมากขึ้นในการพยายามลบออกโดย GitHub เมื่อเพย์โหลดที่เป็นอันตรายถูกตั้งค่าสถานะบนแพลตฟอร์ม

บัญชีประเภทต่างๆ ที่ผู้คุกคามใช้

เครือข่ายใช้บัญชีหลายประเภทสำหรับฟังก์ชันที่แตกต่างกัน: บางบัญชีจัดการเทมเพลตพื้นที่เก็บข้อมูลฟิชชิ่ง บัญชีอื่น ๆ จัดหารูปภาพสำหรับเทมเพลตเหล่านี้ และบางบัญชีส่งมัลแวร์ไปยังพื้นที่เก็บข้อมูลในคลังข้อมูลที่มีการป้องกันด้วยรหัสผ่านซึ่งปลอมตัวเป็นซอฟต์แวร์ถอดรหัสหรือกลโกงเกม

หาก GitHub ตรวจพบและแบนบัญชีชุดที่สาม Stargazer Goblin จะอัปเดตพื้นที่เก็บข้อมูลฟิชชิ่งจากชุดแรกด้วยลิงก์ใหม่ไปยังรุ่นที่เป็นอันตรายที่ใช้งานอยู่ ซึ่งช่วยลดการหยุดชะงักในการปฏิบัติงาน

นอกเหนือจากการชื่นชอบเวอร์ชันใหม่จากแหล่งเก็บข้อมูลหลายแห่งและการแก้ไขลิงก์ดาวน์โหลดในไฟล์ README.md แล้ว หลักฐานยังชี้ให้เห็นว่าบัญชีบางบัญชีในเครือข่ายอาจถูกบุกรุก โดยข้อมูลประจำตัวของพวกเขาอาจได้รับมาจากมัลแวร์ที่ขโมยข้อมูล

โดยทั่วไปแล้ว นักวิจัยพบว่าบัญชี Repository และ Stargazer มักจะไม่ได้รับผลกระทบจากการแบนและการถอดพื้นที่เก็บข้อมูลออก ในขณะที่บัญชี Commit และ Release มักจะถูกแบนเมื่อพบที่เก็บข้อมูลที่เป็นอันตราย เป็นเรื่องปกติที่จะเห็น Link-Repositories ที่มีลิงก์ไปยัง Release-Repositories ที่ถูกแบน เมื่อสิ่งนี้เกิดขึ้น บัญชี Commit ที่เกี่ยวข้องจะอัปเดตลิงก์ที่เป็นอันตรายเป็นลิงก์ใหม่

ภัยคุกคามมัลแวร์ต่างๆ ถูกปรับใช้

หนึ่งในแคมเปญที่ค้นพบโดยผู้เชี่ยวชาญเกี่ยวข้องกับลิงก์ที่เป็นอันตรายซึ่งนำไปสู่พื้นที่เก็บข้อมูล GitHub พื้นที่เก็บข้อมูลนี้นำผู้ใช้ไปยังสคริปต์ PHP ที่โฮสต์บนเว็บไซต์ WordPress ซึ่งจากนั้นจะส่งไฟล์แอปพลิเคชัน HTML (HTA) เพื่อเรียกใช้ Atlantida Stealer ผ่านสคริปต์ PowerShell

นอกจาก Atlantida Stealer แล้ว DaaS ยังเผยแพร่กลุ่มมัลแวร์อื่นๆ รวมถึง Lumma Stealer, RedLine Stealer, Rhadamanthys และ RisePro ผู้เชี่ยวชาญตั้งข้อสังเกตว่าบัญชี GitHub เหล่านี้เป็นส่วนหนึ่งของเครือข่าย DaaS ที่กว้างกว่าซึ่งใช้งานบัญชี 'Ghost' ที่คล้ายกันบนแพลตฟอร์มอื่น ๆ เช่น Discord, Facebook, Instagram, X และ YouTube

บทสรุป

Stargazer Goblin ได้พัฒนาการดำเนินการกระจายมัลแวร์ที่มีความซับซ้อนสูง ซึ่งหลบเลี่ยงการตรวจจับอย่างชาญฉลาดโดยใช้ประโยชน์จากชื่อเสียงของ GitHub ในฐานะไซต์ที่ถูกต้องตามกฎหมาย วิธีการนี้ช่วยหลีกเลี่ยงกิจกรรมที่น่าสงสัยและลดความเสียหายเมื่อ GitHub เข้ามาแทรกแซง

ด้วยการใช้บัญชีและโปรไฟล์ที่หลากหลายสำหรับงานที่แตกต่างกัน เช่น การติดดาวพื้นที่เก็บข้อมูล การโฮสต์พื้นที่เก็บข้อมูล การสร้างเทมเพลตฟิชชิ่ง และการโฮสต์การเผยแพร่ที่เป็นอันตราย Stargazers Ghost Network สามารถจำกัดการสูญเสียได้ เมื่อ GitHub ขัดขวางการดำเนินงาน โดยทั่วไปจะส่งผลกระทบต่อเครือข่ายเพียงบางส่วน ส่งผลให้โครงสร้างพื้นฐานที่เหลือสามารถทำงานได้ต่อไปโดยมีผลกระทบน้อยที่สุด

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...