威脅數據庫 Malware 觀星者幽靈網絡

觀星者幽靈網絡

一個名為Stargazer Goblin 的威脅行為者創建了一個假GitHub 帳戶網絡,以運行分發即服務(DaaS) 操作,分發各種類型的信息竊取惡意軟體,在過去一年中為他們賺取了10 萬美元的非法利潤。

該網路被稱為 Stargazers Ghost Network,在基於雲端的程式碼託管平台上包含 3,000 多個帳戶,並跨越數千個用於共享惡意連結和惡意軟體的儲存庫。

透過此網路傳播的惡意軟體系列包括 Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer 和 RedLine。此外,虛假帳戶還從事諸如加註、分叉、觀看和訂閱這些惡意儲存庫等活動,以營造合法的外觀。

冒充一般使用者的惡意帳戶

據信,該網絡自2022 年8 月以來就以某種初步形式活躍,儘管直到2023 年7 月初才在黑暗中發現DaaS 廣告。軟體:其儲存庫和加密檔案上的惡意連結已發布。

該網路不僅傳播惡意軟體,還提供各種其他活動,使這些「幽靈」帳戶顯示為普通用戶,為其行為和相關儲存庫提供虛假的合法性。

不同類別的 GitHub 帳戶負責該計劃的不同方面,以便在平台上標記惡意負載時,使其基礎設施能夠更靈活地應對 GitHub 的刪除工作。

威脅參與者使用的不同類型的帳戶

該網路使用各種類型的帳戶來實現不同的功能:一些帳戶管理網路釣魚儲存庫模板,其他帳戶為這些模板提供圖像,還有一些帳戶將惡意軟體偽裝成破解軟體或遊戲作弊程式推送到受密碼保護的存檔中的儲存庫。

如果 GitHub 偵測到並禁止第三組帳戶,Stargazer Goblin 會使用指向活動惡意版本的新連結更新第一組帳戶中的網路釣魚儲存庫,從而最大程度地減少營運中斷。

除了喜歡多個儲存庫的新版本並修改 README.md 檔案中的下載連結之外,有證據表明網路中的某些帳戶可能已洩露,其憑證可能是透過竊取惡意軟體獲得的。

研究人員通常發現,儲存庫和 Stargazer 帳戶通常不會受到禁令和儲存庫刪除的影響,而提交和發布帳戶通常在發現惡意儲存庫後會被禁止。連結儲存庫包含指向被禁止的發布儲存庫的連結也是很常見的。發生這種情況時,關聯的提交帳戶會將惡意連結更新為新連結。

部署的各種惡意軟體威脅

專家發現的其中一項活動涉及指向 GitHub 儲存庫的惡意連結。該儲存庫將使用者引導至 WordPress 網站上託管的 PHP 腳本,然後該腳本提供 HTML 應用程式 (HTA) 檔案以透過 PowerShell 腳本執行 Atlantida Stealer。

除了 Atlantida Stealer 之外,DaaS 還分發其他惡意軟體系列,包括 Lumma Stealer、RedLine Stealer、Rhadamanthys 和 RisePro。專家觀察到,這些 GitHub 帳戶是更廣泛的 DaaS 網路的一部分,該網路在 Discord、Facebook、Instagram、X 和 YouTube 等其他平台上經營類似的「幽靈」帳戶。

結論

Stargazer Goblin 開發了一種高度複雜的惡意軟體分發操作,它利用 GitHub 作為合法網站的聲譽巧妙地逃避檢測。這種方法有助於避免對惡意活動的懷疑,並減少 GitHub 介入時造成的傷害。

透過使用各種帳戶和設定檔來執行不同的任務,例如對儲存庫加註星標、託管它們、提交網路釣魚範本以及託管惡意版本,Stargazers Ghost Network 可以限制他們的損失。當 GitHub 中斷其營運時,通常只會影響網路的一部分,從而使其餘基礎設施能夠以最小的影響繼續運作。

熱門

最受關注

加載中...