Stargazers Ghost Network wurde über gefälschte GitHub-Konten zur Verbreitung von Malware erstellt
Ein erfahrener Bedrohungsakteur namens Stargazer Goblin hat ein weitläufiges Netzwerk gefälschter GitHub-Konten aufgebaut, um einen Distribution-as-a-Service (DaaS)-Betrieb zu ermöglichen. Dieses Schema war maßgeblich an der Verbreitung verschiedener Malware zum Diebstahl von Informationen beteiligt und hat im vergangenen Jahr illegale Gewinne in Höhe von 100.000 US-Dollar erzielt.
Table of Contents
Das Stargazers-Geisternetzwerk
Dieses umfangreiche Netzwerk, das von den Check Point-Forschern „Stargazers Ghost Network“ genannt wurde, besteht aus über 3.000 GitHub-Konten. Diese Konten werden verwendet, um bösartige Links und Malware über Tausende von Repositories zu verteilen. Zu den über dieses Netzwerk verbreiteten Malware-Familien gehören Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer und RedLine.
Struktur und Strategie
Das Stargazers Ghost Network verfolgt mehrere Strategien, um seinen Betrieb aufrechtzuerhalten und einer Entdeckung zu entgehen:
- Kontovielfalt : Verschiedene Konten übernehmen bestimmte Aufgaben, z. B. das Hosten von Phishing-Vorlagen, das Bereitstellen von Bildern oder die Verbreitung von Malware, die als geknackte Software oder Spiele-Cheats getarnt ist.
- Resilienztaktiken : Wenn GitHub bestimmte Konten erkennt und sperrt, passt sich das Netzwerk schnell an, indem es die Repositories mit neuen Links aktualisiert und so Betriebsunterbrechungen minimiert.
- Legitimitätsnachahmung : Die Konten beteiligen sich an Aktivitäten wie dem Markieren, Forken und Beobachten von Repositories, um einen Anschein von Legitimität zu erwecken.
Die Rolle von „Geisterkonten“
Laut dem Sicherheitsforscher Antonis Terefos verbreitet das Netzwerk der „Ghost“-Konten nicht nur Malware, sondern führt auch Aktivitäten durch, die diese Konten als legitime Benutzer erscheinen lassen. Diese Taktik hilft, Misstrauen zu vermeiden und die Langlebigkeit ihrer bösartigen Repositories aufrechtzuerhalten.
Laufende Operationen und Anpassungen
Das seit August 2022 aktive Stargazers Ghost Network wurde erstmals im Juli 2023 als DaaS beworben. Eine bemerkenswerte Kampagne umfasste einen bösartigen GitHub-Link, der zu einem PHP-Skript auf einer WordPress-Site führte, das schließlich den Atlantida Stealer über ein PowerShell-Skript ausführte. Auch andere Malware-Familien wie Lumma Stealer, RedLine Stealer, Rhadamanthys und RisePro werden über dieses Netzwerk verbreitet.
Multiplattform-Erweiterung
Das Netzwerk ist nicht nur auf GitHub beschränkt; es betreibt ähnliche „Ghost“-Konten auf Plattformen wie Discord, Facebook, Instagram, X und YouTube. Diese plattformübergreifende Präsenz erhöht die Widerstandsfähigkeit und Reichweite ihrer bösartigen Operationen.
Aktuelle Erpressungskampagnen
In einer damit verbundenen Entwicklung zielen unbekannte Bedrohungsakteure seit Februar 2024 auf GitHub-Repositories ab. Diese Angreifer löschen Repository-Inhalte und fordern über Telegram unter dem Deckmantel eines Benutzers namens Gitloker Lösegeld. Bei diesem Angriff werden Phishing-E-Mails verwendet, um Entwickler dazu zu verleiten, eine bösartige OAuth-App zu autorisieren, die Repository-Daten löscht.
Sicherheitshinweis: CFOR-Sicherheitslücke
Truffle Security hat eine Warnung herausgegeben, in der auf die Möglichkeit hingewiesen wird, vertrauliche Daten aus gelöschten Forks und privaten Repositories auf GitHub abzurufen. Dieses als Cross Fork Object Reference (CFOR)-Schwachstelle bekannte Problem tritt auf, wenn Commits zu einem beliebigen Repository in einem Fork-Netzwerk weiterhin zugänglich bleiben, selbst wenn das Repository gelöscht oder privat gemacht wurde.
Stargazer Goblins raffinierte Nutzung von GitHub zur Verbreitung von Malware veranschaulicht die sich entwickelnden Taktiken von Bedrohungsakteuren bei der Ausnutzung legitimer Plattformen. Da diese Operationen immer komplexer werden, müssen die Sicherheitsmaßnahmen kontinuierlich angepasst werden, um neue Schwachstellen zu beheben und vor solchen bösartigen Netzwerken zu schützen.
