Tehdit Veritabanı Malware Yıldız Gözlemcileri Hayalet Ağı

Yıldız Gözlemcileri Hayalet Ağı

Stargazer Goblin olarak tanımlanan bir tehdit aktörü, çeşitli türde bilgi çalan kötü amaçlı yazılımları dağıtan bir Hizmet Olarak Dağıtım (DaaS) operasyonunu yürütmek için sahte GitHub hesaplarından oluşan bir ağ oluşturdu ve geçen yıl onlara 100.000 dolar yasa dışı kar kazandırdı.

Stargazers Ghost Network olarak bilinen bu ağ, bulut tabanlı kod barındırma platformunda 3.000'den fazla hesap içeriyor ve kötü amaçlı bağlantıları ve kötü amaçlı yazılımları paylaşmak için kullanılan binlerce depoyu kapsıyor.

Bu ağ üzerinden yayılan kötü amaçlı yazılım aileleri arasında Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ve RedLine yer alıyor. Ayrıca sahte hesaplar, meşruiyet görüntüsü yaratmak için yıldız verme, çatallanma, izleme ve bu kötü amaçlı depolara abone olma gibi faaliyetlerde bulunur.

Normal Kullanıcı Gibi Görünen Kötü Amaçlı Hesaplar

Ağın ön hazırlık aşamasında Ağustos 2022'den bu yana aktif olduğuna inanılıyor, ancak DaaS için bir reklam Temmuz 2023'ün başına kadar karanlıkta görülmedi. Tehdit aktörleri artık kötü amaçlı yazılımları dağıtan bir 'Hayalet' hesaplar ağı işletiyor. yayın olarak depolarındaki ve şifrelenmiş arşivlerindeki kötü amaçlı bağlantılar.

Bu ağ, yalnızca kötü amaçlı yazılım dağıtmakla kalmıyor, aynı zamanda bu 'Hayalet' hesapların normal kullanıcılar gibi görünmesini sağlayan çeşitli başka etkinlikler de sağlıyor ve eylemlerine ve ilgili depolara sahte meşruiyet kazandırıyor.

GitHub hesaplarının farklı kategorileri, platformda kötü amaçlı yükler işaretlendiğinde altyapılarını GitHub'un kaldırma çabalarına karşı daha dayanıklı hale getirmek amacıyla planın farklı yönlerinden sorumludur.

Tehdit Aktörlerinin Kullandığı Farklı Hesap Türleri

Ağ, farklı işlevler için çeşitli hesap türleri kullanır: Bazı hesaplar kimlik avı veri havuzu şablonlarını yönetir, diğerleri bu şablonlar için görseller sağlar ve bazıları da kötü amaçlı yazılımları, kırılmış yazılım veya oyun hileleri olarak gizlenen şifre korumalı arşivlerdeki depolara iter.

GitHub üçüncü hesap grubunu tespit edip yasaklarsa, Stargazer Goblin, kimlik avı havuzunu ilk gruptan itibaren etkin bir kötü amaçlı sürüme yeni bir bağlantıyla güncelleyerek operasyonel kesintiyi en aza indirir.

Birden çok depodaki yeni sürümleri beğenmenin ve README.md dosyalarındaki indirme bağlantılarını değiştirmenin yanı sıra, kanıtlar ağdaki bazı hesapların ele geçirilmiş olabileceğini ve kimlik bilgilerinin muhtemelen hırsız kötü amaçlı yazılım yoluyla elde edilmiş olabileceğini gösteriyor.

Araştırmacılar genellikle Repository ve Stargazer hesaplarının genellikle yasaklamalardan ve havuzun kaldırılmasından etkilenmediğini, Commit ve Release hesaplarının ise kötü amaçlı depoları keşfedildikten sonra genellikle yasaklandığını buldu. Ayrıca, yasaklı Sürüm Depolarına bağlantılar içeren Bağlantı Havuzlarını görmek de yaygındır. Bu gerçekleştiğinde, ilgili Commit hesabı kötü amaçlı bağlantıyı yeni bir bağlantıyla günceller.

Çeşitli Kötü Amaçlı Yazılım Tehditleri Dağıtıldı

Uzmanların ortaya çıkardığı kampanyalardan biri, GitHub deposuna giden kötü amaçlı bir bağlantı içeriyor. Bu depo, kullanıcıları bir WordPress sitesinde barındırılan bir PHP betiğine yönlendirir ve daha sonra Atlantida Stealer'ı bir PowerShell betiği aracılığıyla çalıştırmak için bir HTML Uygulaması (HTA) dosyası sunar.

DaaS, Atlantida Stealer'ın yanı sıra Lumma Stealer, RedLine Stealer, Rhadamanthys ve RisePro gibi diğer kötü amaçlı yazılım ailelerinin de dağıtımını yapıyor. Uzmanlar, bu GitHub hesaplarının Discord, Facebook, Instagram, X ve YouTube gibi diğer platformlarda benzer 'Hayalet' hesapları işleten daha geniş bir DaaS ağının parçası olduğunu gözlemledi.

Çözüm

Stargazer Goblin, GitHub'ın meşru bir site olarak itibarından yararlanarak tespit edilmekten akıllıca kaçınan son derece karmaşık bir kötü amaçlı yazılım dağıtım operasyonu geliştirdi. Bu yaklaşım, kötü niyetli faaliyetlerden şüphelenmeyi önlemeye yardımcı olur ve GitHub müdahale ettiğinde hasarı azaltır.

Stargazers Ghost Network, veri havuzlarına yıldız vermek, bunları barındırmak, kimlik avı şablonları işlemek ve kötü amaçlı yayınları barındırmak gibi farklı görevler için çeşitli hesaplar ve profiller kullanarak kayıplarını sınırlayabilir. GitHub operasyonlarını aksattığında bu durum genellikle ağın yalnızca bir bölümünü etkiler ve altyapının geri kalanının minimum etkiyle çalışmaya devam etmesine olanak tanır.

trend

En çok görüntülenen

Yükleniyor...