Мережа привидів Stargazers
Зловмисник, названий Stargazer Goblin, створив мережу підроблених облікових записів GitHub для запуску операції Distribution-as-a-Service (DaaS), яка розповсюджує різні типи зловмисного програмного забезпечення, що викрадає інформацію, заробляючи їм 100 000 доларів незаконного прибутку за минулий рік.
Ця мережа, відома як Stargazers Ghost Network, включає понад 3000 облікових записів на хмарній платформі розміщення коду та охоплює тисячі сховищ, які використовуються для обміну шкідливими посиланнями та шкідливим програмним забезпеченням.
Сімейства зловмисних програм, які поширюються цією мережею, включають Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer і RedLine. Крім того, підроблені облікові записи беруть участь у таких діях, як позначення, розгалуження, перегляд і підписка на ці шкідливі сховища, щоб створити видимість легітимності.
Зміст
Шкідливі облікові записи під виглядом звичайних користувачів
Вважається, що мережа була активною з серпня 2022 року в деякій попередній формі, хоча реклама DaaS була помічена в темряві лише на початку липня 2023 року. Зараз зловмисники керують мережею облікових записів «привидів», які поширюють шкідливе програмне забезпечення через шкідливі посилання на їхні репозиторії та зашифровані архіви як реліз.
Ця мережа не лише розповсюджує зловмисне програмне забезпечення, але й виконує різноманітні інші дії, завдяки яким ці облікові записи «привидів» виглядають як звичайні користувачі, надаючи фальшиву легітимність їхнім діям і пов’язаним сховищам.
Різні категорії облікових записів GitHub відповідають за різні аспекти схеми, намагаючись зробити свою інфраструктуру більш стійкою до знищення з боку GitHub, коли шкідливе корисне навантаження позначається на платформі.
Різні типи облікових записів, які використовують зловмисники
У мережі використовуються різні типи облікових записів для різних функцій: одні облікові записи керують шаблонами фішингового сховища, інші надають зображення для цих шаблонів, а деякі надсилають зловмисне програмне забезпечення до сховищ у захищених паролем архівах під виглядом зламаного програмного забезпечення чи ігор.
Якщо GitHub виявляє та блокує третій набір облікових записів, Stargazer Goblin оновлює фішинговий репозиторій з першого набору новим посиланням на активну шкідливу версію, мінімізуючи збої в роботі.
Окрім того, що користувачі вподобали нові випуски з кількох сховищ і змінили посилання для завантаження у файлах README.md, дані свідчать про те, що деякі облікові записи в мережі могли бути скомпрометовані, а їхні облікові дані, ймовірно, отримані за допомогою зловмисного програмного забезпечення.
Дослідники зазвичай виявляють, що облікові записи Repository та Stargazer часто не піддаються заборонам і видаленням сховищ, тоді як облікові записи Commit та Release зазвичай блокуються після виявлення їхніх шкідливих сховищ. Також часто можна побачити сховища посилань, які містять посилання на заборонені сховища випусків. Коли це відбувається, пов’язаний обліковий запис Commit оновлює шкідливе посилання на нове.
Розгортання різних загроз зловмисного програмного забезпечення
Одна з кампаній, виявлених експертами, включає шкідливе посилання, що веде на репозиторій GitHub. Це сховище спрямовує користувачів до сценарію PHP, розміщеного на сайті WordPress, який потім доставляє файл HTML-додатку (HTA) для виконання Atlantida Stealer через сценарій PowerShell.
Крім Atlantida Stealer, DaaS також розповсюджує інші сімейства зловмисних програм, включаючи Lumma Stealer, RedLine Stealer, Rhadamanthys і RisePro. Експерти помітили, що ці облікові записи GitHub є частиною ширшої мережі DaaS, яка керує подібними обліковими записами «привид» на інших платформах, таких як Discord, Facebook, Instagram, X і YouTube.
Висновок
Stargazer Goblin розробив дуже складну операцію з розповсюдження зловмисного програмного забезпечення, яка вміло уникає виявлення, використовуючи репутацію GitHub як законного сайту. Такий підхід допомагає уникнути підозр у зловмисних діях і зменшує шкоду, коли втручається GitHub.
Використовуючи різноманітні облікові записи та профілі для різних завдань, таких як позначення репозиторіїв, їх розміщення, використання фішингових шаблонів і розміщення шкідливих випусків, Stargazers Ghost Network може обмежити свої втрати. Коли GitHub порушує їх роботу, це зазвичай впливає лише на частину мережі, дозволяючи решті їхньої інфраструктури продовжувати функціонувати з мінімальним впливом.