Stargazers Ghost Network Δημιουργήθηκε μέσω ψεύτικων λογαριασμών GitHub για τη διάδοση κακόβουλου λογισμικού

Ένας εξελιγμένος ηθοποιός απειλών γνωστός ως Stargazer Goblin έχει δημιουργήσει ένα εκτεταμένο δίκτυο ψεύτικων λογαριασμών GitHub για να διευκολύνει μια λειτουργία Distribution-as-a-Service (DaaS). Αυτό το σύστημα έχει συμβάλει καθοριστικά στη διάδοση διαφόρων κακόβουλων προγραμμάτων που κλέβουν πληροφορίες, δημιουργώντας παράνομα κέρδη ύψους 100.000 $ κατά τη διάρκεια του περασμένου έτους.

The Stargazers Ghost Network

Αυτό το εκτεταμένο δίκτυο, που ονομάζεται "Stargazers Ghost Network" από τους ερευνητές του Check Point, αποτελείται από πάνω από 3.000 λογαριασμούς GitHub. Αυτοί οι λογαριασμοί χρησιμοποιούνται για τη διανομή κακόβουλων συνδέσμων και κακόβουλου λογισμικού σε χιλιάδες αποθετήρια. Οι οικογένειες κακόβουλου λογισμικού που διαδίδονται μέσω αυτού του δικτύου περιλαμβάνουν τα Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer και RedLine.

Δομή και Στρατηγική

Το Stargazers Ghost Network χρησιμοποιεί διάφορες στρατηγικές για να διατηρήσει τις δραστηριότητές του και να αποφύγει τον εντοπισμό:

• Διαφορετικότητα Λογαριασμών : Διαφορετικοί λογαριασμοί επιφορτίζονται με συγκεκριμένους ρόλους, όπως η φιλοξενία προτύπων phishing, η παροχή εικόνων ή η διανομή κακόβουλου λογισμικού μεταμφιεσμένου ως κατεστραμμένου λογισμικού ή εξαπατήσεων παιχνιδιών.
• Τακτικές ανθεκτικότητας : Όταν το GitHub εντοπίζει και αποκλείει ορισμένους λογαριασμούς, το δίκτυο προσαρμόζεται γρήγορα ενημερώνοντας τα αποθετήρια με νέους συνδέσμους, ελαχιστοποιώντας τη λειτουργική διακοπή.
• Μιμητισμός νομιμότητας : Οι λογαριασμοί εμπλέκονται σε δραστηριότητες όπως η παρουσίαση με αστέρι, η διακλάδωση και η παρακολούθηση αποθετηρίων για να δημιουργήσουν μια ομοιότητα νομιμότητας.

Ο ρόλος των λογαριασμών «Ghost».

Σύμφωνα με τον ερευνητή ασφάλειας Αντώνη Τερεφό, το δίκτυο λογαριασμών «Ghost» όχι μόνο διανέμει κακόβουλο λογισμικό, αλλά εμπλέκεται και σε δραστηριότητες που κάνουν αυτούς τους λογαριασμούς να εμφανίζονται ως νόμιμοι χρήστες. Αυτή η τακτική βοηθά στην αποφυγή υποψιών και στη διατήρηση της μακροζωίας των κακόβουλων αποθετηρίων τους.

Τρέχουσες Λειτουργίες και Προσαρμογές

Ενεργό από τον Αύγουστο του 2022, το Stargazers Ghost Network διαφημίστηκε για πρώτη φορά ως DaaS τον Ιούλιο του 2023. Μια αξιοσημείωτη καμπάνια αφορούσε έναν κακόβουλο σύνδεσμο GitHub που οδηγούσε σε ένα σενάριο PHP σε έναν ιστότοπο WordPress, ο οποίος τελικά εκτέλεσε το Atlantida Stealer μέσω ενός σεναρίου PowerShell. Άλλες οικογένειες κακόβουλου λογισμικού όπως το Lumma Stealer, το RedLine Stealer, το Rhadamanthys και το RisePro διαδίδονται επίσης μέσω αυτού του δικτύου.

Επέκταση πολλαπλών πλατφορμών

Το δίκτυο δεν περιορίζεται μόνο στο GitHub. λειτουργεί παρόμοιους λογαριασμούς «Ghost» σε πλατφόρμες όπως το Discord, το Facebook, το Instagram, το X και το YouTube. Αυτή η παρουσία πολλαπλών πλατφορμών ενισχύει την ανθεκτικότητα και την εμβέλεια των κακόβουλων λειτουργιών τους.

Πρόσφατες εκστρατείες εκβιασμών

Σε μια σχετική εξέλιξη, άγνωστοι παράγοντες απειλών στοχεύουν αποθετήρια GitHub από τον Φεβρουάριο του 2024. Αυτοί οι εισβολείς σκουπίζουν το περιεχόμενο του αποθετηρίου και ζητούν λύτρα μέσω του Telegram υπό το πρόσχημα ενός χρήστη που ονομάζεται Gitloker. Αυτή η επίθεση χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος για να ξεγελάσει τους προγραμματιστές ώστε να εξουσιοδοτήσουν μια κακόβουλη εφαρμογή OAuth που διαγράφει δεδομένα αποθετηρίου.

Συμβουλή ασφαλείας: Ευπάθεια CFOR

Η Truffle Security εξέδωσε μια συμβουλή που τονίζει τη δυνατότητα πρόσβασης σε ευαίσθητα δεδομένα από διαγραμμένα πιρούνια και ιδιωτικά αποθετήρια στο GitHub. Γνωστό ως ευπάθεια Cross Fork Object Reference (CFOR), αυτό το ζήτημα προκύπτει όταν οι δεσμεύσεις σε οποιοδήποτε χώρο αποθήκευσης σε ένα δίκτυο διχάλας παραμένουν προσβάσιμες, ακόμα κι αν το αποθετήριο διαγραφεί ή γίνει ιδιωτικό.

Η εξελιγμένη χρήση του GitHub από το Stargazer Goblin για τη διανομή κακόβουλου λογισμικού παρουσιάζει τις εξελισσόμενες τακτικές των παραγόντων απειλών για την εκμετάλλευση νόμιμων πλατφορμών. Καθώς αυτές οι λειτουργίες γίνονται πιο περίπλοκες, τα μέτρα ασφαλείας πρέπει να προσαρμόζονται συνεχώς για την αντιμετώπιση νέων τρωτών σημείων και την προστασία από τέτοια κακόβουλα δίκτυα.