Banta sa Database Malware Stargazers Ghost Network

Stargazers Ghost Network

Isang banta na aktor na kinilala bilang Stargazer Goblin ay lumikha ng isang network ng mga pekeng GitHub account upang magpatakbo ng isang Distribution-as-a-Service (DaaS) na operasyon na namamahagi ng iba't ibang uri ng malware sa pagnanakaw ng impormasyon, na kumikita sa kanila ng $100,000 na ilegal na kita sa nakalipas na taon.

Ang network na ito, na kilala bilang Stargazers Ghost Network, ay may kasamang higit sa 3,000 account sa cloud-based na code hosting platform at sumasaklaw sa libu-libong repositoryo na ginagamit upang magbahagi ng mga nakakahamak na link at malware.

Kasama sa mga pamilya ng malware na kumakalat sa network na ito ang Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer, at RedLine. Bukod pa rito, ang mga pekeng account ay nakikibahagi sa mga aktibidad tulad ng paglalagay ng star, forking, panonood, at pag-subscribe sa mga nakakahamak na repository na ito upang lumikha ng hitsura ng pagiging lehitimo.

Mga Nakakahamak na Account na Nagpanggap bilang Mga Normal na Gumagamit

Ang network ay pinaniniwalaang naging aktibo mula noong Agosto 2022 sa ilang paunang anyo, bagama't ang isang ad para sa DaaS ay hindi nakita sa dilim hanggang sa unang bahagi ng Hulyo 2023. Ang mga banta na aktor ay nagpapatakbo na ngayon ng isang network ng mga 'Ghost' na account na namamahagi ng malware sa pamamagitan ng malisyosong mga link sa kanilang mga repositoryo at naka-encrypt na mga archive bilang release.

Ang network na ito ay hindi lamang namamahagi ng malware ngunit nagbibigay din ng iba't ibang aktibidad na nagpapalabas sa mga 'Ghost' na account na ito bilang mga normal na user, na nagpapahiram ng pekeng lehitimo sa kanilang mga aksyon at ang nauugnay na mga repositoryo.

May pananagutan ang iba't ibang kategorya ng mga GitHub account para sa mga natatanging aspeto ng scheme sa pagtatangkang gawing mas matatag ang kanilang imprastraktura sa mga pagsusumikap sa pagtanggal ng GitHub kapag na-flag ang mga nakakahamak na payload sa platform.

Iba't Ibang Uri ng Mga Account na Ginamit ng Mga Aktor ng Banta

Gumagamit ang network ng iba't ibang uri ng mga account para sa iba't ibang function: ang ilang mga account ay namamahala ng mga template ng repositoryo ng phishing, ang iba ay nagbibigay ng mga larawan para sa mga template na ito, at ang ilan ay nagtutulak ng malware sa mga repositoryo sa mga archive na protektado ng password na nakakunwaring basag na software o mga cheat ng laro.

Kung matukoy at ma-ban ng GitHub ang ikatlong hanay ng mga account, ia-update ng Stargazer Goblin ang repositoryo ng phishing mula sa unang hanay gamit ang isang bagong link sa isang aktibong nakakahamak na release, na pinapaliit ang pagkagambala sa pagpapatakbo.

Bilang karagdagan sa paggusto sa mga bagong release mula sa maraming repository at pagbabago ng mga link sa pag-download sa README.md file, iminumungkahi ng ebidensya na ang ilang account sa network ay maaaring nakompromiso, na ang kanilang mga kredensyal ay malamang na nakuha sa pamamagitan ng stealer malware.

Karaniwang nalaman ng mga mananaliksik na ang mga Repository at Stargazer account ay kadalasang nananatiling hindi naaapektuhan ng mga pagbabawal at pagtatanggal ng repositoryo, habang ang mga Commit at Release na account ay karaniwang pinagbawalan kapag natuklasan ang kanilang mga nakakahamak na repositoryo. Karaniwan din na makita ang Link-Repositories na naglalaman ng mga link sa pinagbawalan na Release-Repositories. Kapag nangyari ito, ina-update ng nauugnay na Commit account ang nakakahamak na link sa isang bago.

Nai-deploy ang Iba't ibang Banta sa Malware

Ang isa sa mga kampanyang natuklasan ng mga eksperto ay nagsasangkot ng isang nakakahamak na link na humahantong sa isang imbakan ng GitHub. Ang repositoryong ito ay nagdidirekta sa mga user sa isang PHP script na naka-host sa isang WordPress site, na pagkatapos ay naghahatid ng isang HTML Application (HTA) file upang maisagawa ang Atlantida Stealer sa pamamagitan ng isang PowerShell script.

Bilang karagdagan sa Atlantida Stealer, namamahagi din ang DaaS ng iba pang mga pamilya ng malware, kabilang ang Lumma Stealer, RedLine Stealer, Rhadamanthys, at RisePro. Napansin ng mga eksperto na ang mga GitHub account na ito ay bahagi ng isang mas malawak na network ng DaaS na nagpapatakbo ng mga katulad na 'Ghost' account sa iba pang mga platform gaya ng Discord, Facebook, Instagram, X, at YouTube.

Konklusyon

Ang Stargazer Goblin ay nakabuo ng isang napaka-sopistikadong operasyon ng pamamahagi ng malware na matalinong umiiwas sa pagtuklas sa pamamagitan ng paggamit sa reputasyon ng GitHub bilang isang lehitimong site. Nakakatulong ang diskarteng ito na maiwasan ang paghihinala ng mga malisyosong aktibidad at binabawasan ang pinsala kapag nakialam ang GitHub.

Sa pamamagitan ng paggamit ng iba't ibang account at profile para sa iba't ibang gawain—gaya ng paglalagay ng star sa mga repositoryo, pagho-host sa mga ito, paggawa ng mga template ng phishing, at pagho-host ng mga malisyosong release—maaaring limitahan ng Stargazers Ghost Network ang kanilang mga pagkalugi. Kapag naabala ng GitHub ang kanilang mga operasyon, kadalasang naaapektuhan lang nito ang isang bahagi ng network, na nagbibigay-daan sa natitirang bahagi ng kanilang imprastraktura na patuloy na gumana nang may kaunting epekto.

Trending

Pinaka Nanood

Naglo-load...