マルウェア拡散のため偽の GitHub アカウントで作成された Stargazers Ghost Network

Stargazer Goblin として知られる高度な脅威アクターは、Distribution-as-a-Service (DaaS) オペレーションを容易にするために、偽の GitHub アカウントの広大なネットワークを構築しました。この計画は、さまざまな情報窃取マルウェアの拡散に役立ち、過去 1 年間で 10 万ドルに上る不法な利益を生み出しました。

スターゲイザーズゴーストネットワーク

Check Point の研究者によって「Stargazers Ghost Network」と名付けられたこの大規模なネットワークは、3,000 を超える GitHub アカウントで構成されています。これらのアカウントは、何千ものリポジトリに悪意のあるリンクやマルウェアを配布するために利用されています。このネットワークを介して配布されるマルウェア ファミリには、Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer、RedLine などがあります。

構造と戦略

Stargazers Ghost Network は、活動を維持し、検出を回避するためにいくつかの戦略を採用しています。

  • アカウントの多様性: フィッシング テンプレートのホスティング、画像の提供、クラックされたソフトウェアやゲーム チートを装ったマルウェアの配布など、さまざまなアカウントに特定の役割が割り当てられます。
  • 回復力戦術: GitHub が特定のアカウントを検出して禁止すると、ネットワークはリポジトリを新しいリンクで更新することで迅速に適応し、運用の中断を最小限に抑えます。
  • 正当性の模倣: アカウントは、正当性を装うために、リポジトリにスターを付けたり、フォークしたり、監視したりするなどのアクティビティを実行します。

「ゴースト」アカウントの役割

セキュリティ研究者のアントニス・テレフォス氏によると、「ゴースト」アカウントのネットワークはマルウェアを配布するだけでなく、これらのアカウントを正当なユーザーのように見せかける活動も行っているとのこと。この戦術は、疑いを避け、悪意のあるリポジトリの寿命を維持するのに役立ちます。

進行中の運用と調整

2022 年 8 月から活動している Stargazers Ghost Network は、2023 年 7 月に初めて DaaS として宣伝されました。注目すべきキャンペーンの 1 つに、WordPress サイト上の PHP スクリプトにつながる悪意のある GitHub リンクがあり、最終的に PowerShell スクリプトを介して Atlantida Stealer が実行されました。Lumma Stealer、RedLine Stealer、Rhadamanthys、RisePro などの他のマルウェア ファミリも、このネットワークを通じて拡散しています。

マルチプラットフォーム拡張

このネットワークは GitHub だけに限定されているわけではなく、Discord、Facebook、Instagram、X、YouTube などのプラットフォームでも同様の「ゴースト」アカウントを運用しています。このマルチプラットフォームでの存在により、悪意のある活動の回復力と範囲が強化されています。

最近の恐喝キャンペーン

関連する展開として、未知の脅威アクターが 2024 年 2 月から GitHub リポジトリを標的にしています。これらの攻撃者は、Gitloker というユーザーを装って Telegram 経由でリポジトリのコンテンツを消去し、身代金を要求します。この攻撃では、フィッシング メールを使用して開発者を騙し、リポジトリ データを消去する悪意のある OAuth アプリを承認させます。

セキュリティアドバイザリ: CFOR の脆弱性

Truffle Security は、GitHub 上の削除されたフォークやプライベート リポジトリから機密データにアクセスできる可能性があることを強調したアドバイザリを発行しました。クロス フォーク オブジェクト参照 (CFOR) 脆弱性として知られるこの問題は、リポジトリが削除されたりプライベートになったりしても、フォーク ネットワーク内の任意のリポジトリへのコミットにアクセスできる場合に発生します。

Stargazer Goblin が GitHub を巧妙に利用してマルウェアを配布していることは、正当なプラットフォームを悪用する脅威アクターの戦術が進化していることを示しています。こうした活動が複雑化するにつれて、セキュリティ対策は継続的に適応して、新たな脆弱性に対処し、このような悪意のあるネットワークから保護する必要があります。

Zane
July 29, 2024
マルウェア
日本語
July 29, 2024
マルウェア

人気の投稿

OperaGXSetup.exe ファイルとは何ですか? 悪意のあるものですか?

11 months年前

Eporner.comとその過剰なポップアップが危険な理由

12 days年前

注意してください: 誰かがあなたをリカバリメール詐欺に追加しました

10 months年前

HackTool:Win32/Crack: システムに深刻なダメージを与える可能性のある悪意のある脅威

7 months年前

潜在的に深刻な脅威: Trojan:Win32/Suschil!rfn

19 days年前

Packunwan トロイの木馬の脅威とは何か、そしてそれがコンピュータにどのような影響を与えるか

11 months年前
日本語
読み込み中...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。