Mạng ma Stargazers
Một kẻ đe dọa được xác định là Stargazer Goblin đã tạo ra một mạng lưới các tài khoản GitHub giả để thực hiện hoạt động Phân phối dưới dạng dịch vụ (DaaS) nhằm phân phối nhiều loại phần mềm độc hại đánh cắp thông tin khác nhau, kiếm cho chúng 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
Mạng này, được gọi là Stargazers Ghost Network, bao gồm hơn 3.000 tài khoản trên nền tảng lưu trữ mã dựa trên đám mây và trải rộng trên hàng nghìn kho lưu trữ được sử dụng để chia sẻ các liên kết độc hại và phần mềm độc hại.
Các dòng phần mềm độc hại lây lan qua mạng này bao gồm Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer và RedLine. Ngoài ra, các tài khoản giả mạo còn tham gia vào các hoạt động như gắn dấu sao, phân nhánh, xem và đăng ký vào các kho lưu trữ độc hại này để tạo vẻ ngoài hợp pháp.
Mục lục
Tài khoản độc hại đóng vai người dùng bình thường
Mạng này được cho là đã hoạt động kể từ tháng 8 năm 2022 ở một số dạng sơ bộ, mặc dù quảng cáo về DaaS không được phát hiện trong bóng tối cho đến đầu tháng 7 năm 2023. Các tác nhân đe dọa hiện vận hành một mạng lưới các tài khoản 'Ghost' phân phối phần mềm độc hại thông qua các liên kết độc hại trên kho lưu trữ của họ và các kho lưu trữ được mã hóa dưới dạng bản phát hành.
Mạng này không chỉ phát tán phần mềm độc hại mà còn cung cấp nhiều hoạt động khác khiến các tài khoản 'Ghost' này xuất hiện như những người dùng bình thường, tạo ra tính hợp pháp giả mạo cho hành động của họ và các kho lưu trữ liên quan.
Các danh mục tài khoản GitHub khác nhau chịu trách nhiệm về các khía cạnh riêng biệt của kế hoạch nhằm cố gắng làm cho cơ sở hạ tầng của họ trở nên linh hoạt hơn trước các nỗ lực gỡ bỏ của GitHub khi tải trọng độc hại được gắn cờ trên nền tảng.
Các loại tài khoản khác nhau được các tác nhân đe dọa sử dụng
Mạng sử dụng nhiều loại tài khoản khác nhau cho các chức năng khác nhau: một số tài khoản quản lý các mẫu kho lưu trữ lừa đảo, một số khác cung cấp hình ảnh cho các mẫu này và một số đẩy phần mềm độc hại đến kho lưu trữ trong kho lưu trữ được bảo vệ bằng mật khẩu được ngụy trang dưới dạng phần mềm bẻ khóa hoặc trò gian lận trong trò chơi.
Nếu GitHub phát hiện và cấm nhóm tài khoản thứ ba, Stargazer Goblin sẽ cập nhật kho lưu trữ lừa đảo từ nhóm đầu tiên bằng một liên kết mới tới bản phát hành độc hại đang hoạt động, giảm thiểu gián đoạn hoạt động.
Ngoài việc thích các bản phát hành mới từ nhiều kho lưu trữ và sửa đổi liên kết tải xuống trong tệp README.md, bằng chứng cho thấy rằng một số tài khoản trong mạng có thể đã bị xâm phạm và thông tin xác thực của chúng có thể có được thông qua phần mềm độc hại đánh cắp.
Các nhà nghiên cứu thường nhận thấy rằng các tài khoản Kho lưu trữ và Stargazer thường không bị ảnh hưởng bởi các lệnh cấm và việc gỡ bỏ kho lưu trữ, trong khi các tài khoản Cam kết và Phát hành thường bị cấm sau khi các kho lưu trữ độc hại của chúng bị phát hiện. Người ta cũng thường thấy các Kho lưu trữ liên kết có chứa các liên kết đến các Kho lưu trữ phát hành bị cấm. Khi điều này xảy ra, tài khoản Commit được liên kết sẽ cập nhật liên kết độc hại thành một liên kết mới.
Nhiều mối đe dọa phần mềm độc hại khác nhau đã được triển khai
Một trong những chiến dịch được các chuyên gia phát hiện liên quan đến liên kết độc hại dẫn đến kho lưu trữ GitHub. Kho lưu trữ này hướng người dùng đến tập lệnh PHP được lưu trữ trên trang web WordPress, sau đó tập lệnh này sẽ cung cấp tệp Ứng dụng HTML (HTA) để thực thi Atlantida Stealer thông qua tập lệnh PowerShell.
Ngoài Atlantida Stealer, DaaS còn phân phối các dòng phần mềm độc hại khác, bao gồm Lumma Stealer, RedLine Stealer, Rhadamanthys và RisePro. Các chuyên gia đã nhận thấy rằng những tài khoản GitHub này là một phần của mạng DaaS rộng hơn vận hành các tài khoản 'Ghost' tương tự trên các nền tảng khác như Discord, Facebook, Instagram, X và YouTube.
Phần kết luận
Stargazer Goblin đã phát triển một hoạt động phân phối phần mềm độc hại cực kỳ tinh vi, khéo léo tránh bị phát hiện bằng cách tận dụng danh tiếng của GitHub như một trang web hợp pháp. Cách tiếp cận này giúp tránh bị nghi ngờ về các hoạt động độc hại và giảm thiệt hại khi GitHub can thiệp.
Bằng cách sử dụng nhiều tài khoản và hồ sơ khác nhau cho các tác vụ khác nhau—chẳng hạn như gắn dấu sao cho các kho lưu trữ, lưu trữ chúng, thực hiện các mẫu lừa đảo và lưu trữ các bản phát hành độc hại—Mạng ma Stargazers có thể hạn chế tổn thất của họ. Khi GitHub làm gián đoạn hoạt động của họ, nó thường chỉ ảnh hưởng đến một phần mạng, cho phép phần còn lại của cơ sở hạ tầng tiếp tục hoạt động với tác động tối thiểu.