威胁数据库 Malware 观星者幽灵网络

观星者幽灵网络

一个名为 Stargazer Goblin 的威胁行为者创建了一个虚假 GitHub 账户网络,以运行分发即服务 (DaaS) 操作,分发各种类型的信息窃取恶意软件,在过去一年中为他们赚取了 100,000 美元的非法利润。

这个被称为 Stargazers Ghost Network 的网络包含基于云的代码托管平台上的 3,000 多个账户,以及数千个用于共享恶意链接和恶意软件的存储库。

通过该网络传播的恶意软件家族包括 Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer 和 RedLine。此外,虚假账户还参与加星标、分叉、观看和订阅这些恶意存储库等活动,以营造合法的假象。

冒充普通用户的恶意账户

据信该网络自 2022 年 8 月以来就以某种初步形式活跃起来,尽管直到 2023 年 7 月初才在黑暗中发现 DaaS 的广告。威胁行为者现在运营着一个“幽灵”账户网络,这些账户通过其存储库和加密档案中的恶意链接分发恶意软件。

该网络不仅传播恶意软件,还提供各种其他活动,使这些“幽灵”账户看起来像普通用户,为他们的行为和相关存储库提供虚假的合法性。

不同类别的 GitHub 帐户负责该计划的不同方面,旨在使它们的基础设施在平台上标记恶意负载时更能抵御 GitHub 的删除努力。

威胁者使用的不同类型的账户

该网络使用各种类型的账户来实现不同的功能:一些账户管理网络钓鱼存储库模板,其他账户为这些模板提供图像,还有一些账户将恶意软件推送到伪装成破解软件或游戏作弊软件的受密码保护的档案库中的存储库。

如果 GitHub 检测并禁止第三组帐户,Stargazer Goblin 会将第一组钓鱼存储库更新为指向活跃恶意版本的新链接,从而最大限度地减少运营中断。

除了喜欢来自多个存储库的新版本并修改 README.md 文件中的下载链接之外,有证据表明,网络中的某些帐户可能已被泄露,其凭据可能通过窃取恶意软件获取。

研究人员通常发现,Repository 和 Stargazer 帐户通常不受禁令和存储库删除的影响,而 Commit 和 Release 帐户通常会在发现其恶意存储库后被禁止。Link-Repositories 包含指向被禁止的 Release-Repositories 的链接也很常见。发生这种情况时,关联的 Commit 帐户会将恶意链接更新为新链接。

部署了各种恶意软件威胁

专家发现的其中一项活动涉及指向 GitHub 存储库的恶意链接。该存储库将用户引导至托管在 WordPress 网站上的 PHP 脚本,然后该脚本会通过 PowerShell 脚本传递 HTML 应用程序 (HTA) 文件以执行 Atlantida Stealer。

除了 Atlantida Stealer 之外,DaaS 还传播其他恶意软件家族,包括 Lumma Stealer、RedLine Stealer、Rhadamanthys 和 RisePro。专家们观察到,这些 GitHub 帐户是更广泛的 DaaS 网络的一部分,该网络在 Discord、Facebook、Instagram、X 和 YouTube 等其他平台上运营类似的“Ghost”帐户。

结论

Stargazer Goblin 开发了一种高度复杂的恶意软件分发操作,它巧妙地利用了 GitHub 作为合法网站的声誉来逃避检测。这种方法有助于避免被怀疑为恶意活动,并减少 GitHub 干预时造成的损失。

通过使用各种帐户和配置文件执行不同的任务(例如为存储库加注星标、托管存储库、提交网络钓鱼模板以及托管恶意版本),Stargazers Ghost Network 可以限制其损失。当 GitHub 破坏其运营时,通常只会影响网络的一部分,从而使其其余基础设施继续运行,影响最小。

趋势

最受关注

正在加载...