„Stargazers Ghost“ tinklas, sukurtas naudojant netikras „GitHub“ paskyras kenkėjiškų programų platinimui
Sudėtingas grėsmių veikėjas, žinomas kaip „Stargazer Goblin“, sukūrė platų netikrų „GitHub“ paskyrų tinklą, kad palengvintų platinimo kaip paslaugos (DaaS) operaciją. Ši schema padėjo platinti įvairią informaciją vagiančią kenkėjišką programą, kuri per pastaruosius metus neteisėtai uždirbo 100 000 USD.
Table of Contents
„Stargazers Ghost Network“.
Šį platų tinklą, kurį Check Point tyrėjai pavadino „Stargazers Ghost Network“, sudaro daugiau nei 3000 „GitHub“ paskyrų. Šios paskyros naudojamos kenkėjiškoms nuorodoms ir kenkėjiškoms programoms platinti tūkstančiuose saugyklų. Kenkėjiškų programų šeimos, platinamos per šį tinklą, yra „Atlantida Stealer“, „Rhadamanthys“, „RisePro“, „Lumma Stealer“ ir „RedLine“.
Struktūra ir strategija
„Stargazers Ghost Network“ taiko keletą strategijų, kad išlaikytų savo veiklą ir išvengtų aptikimo:
- Paskyrų įvairovė : skirtingoms paskyroms pavesta atlikti tam tikrus vaidmenis, pvz., priglobti sukčiavimo šablonus, teikti vaizdus arba platinti kenkėjiškas programas, užmaskuotas kaip nulaužta programinė įranga ar žaidimų apgaulė.
- Atsparumo taktika : kai „GitHub“ aptinka ir uždraudžia tam tikras paskyras, tinklas greitai prisitaiko, atnaujindamas saugyklas naujomis nuorodomis, sumažindamas veikimo sutrikimus.
- Teisėtumo mėgdžiojimas : paskyrose atliekama tokia veikla kaip žymėjimas žvaigždutėmis, šakojimas ir saugyklų stebėjimas, kad būtų sukurtas teisėtumo panašumas.
„Vaiduoklių“ paskyrų vaidmuo
Saugumo tyrinėtojo Antonis Terefos teigimu, „Ghost“ paskyrų tinklas ne tik platina kenkėjiškas programas, bet ir užsiima veikla, dėl kurios šios paskyros atrodo kaip teisėti vartotojai. Ši taktika padeda išvengti įtarimų ir išlaikyti jų kenkėjiškų saugyklų ilgaamžiškumą.
Vykdomos operacijos ir koregavimai
„Stargazers Ghost Network“, veikiantis nuo 2022 m. rugpjūčio mėn., pirmą kartą buvo reklamuojamas kaip „DaaS“ 2023 m. liepos mėn. Viena žymi kampanija buvo susijusi su kenkėjiška „GitHub“ nuoroda, nukreipiančia į PHP scenarijų „WordPress“ svetainėje, kuri galiausiai paleido „Atlantida Stealer“ per PowerShell scenarijų. Per šį tinklą taip pat platinamos kitos kenkėjiškų programų šeimos, tokios kaip Lumma Stealer, RedLine Stealer, Rhadamanthys ir RisePro.
Kelių platformų išplėtimas
Tinklas neapsiriboja vien „GitHub“; ji valdo panašias „Ghost“ paskyras tokiose platformose kaip „Discord“, „Facebook“, „Instagram“, „X“ ir „YouTube“. Šis kelių platformų buvimas padidina jų kenkėjiškų operacijų atsparumą ir pasiekiamumą.
Naujausios turto prievartavimo kampanijos
Vykdant susijusią plėtrą, nežinomi grėsmės veikėjai taikėsi į „GitHub“ saugyklas nuo 2024 m. vasario mėn. Šie užpuolikai išvalo saugyklos turinį ir reikalauja išpirkos per „Telegram“, prisidengdami vartotoju, vardu Gitloker. Šioje atakoje naudojami sukčiavimo el. laiškai, siekiant apgauti kūrėjus, kad jie suteiktų leidimą naudoti kenkėjišką OAuth programą, kuri ištrina saugyklos duomenis.
Saugumo patarimas: CFOR pažeidžiamumas
„Truffle Security“ paskelbė patarimą, kuriame pabrėžiama galimybė pasiekti slaptus duomenis iš ištrintų šakučių ir privačių „GitHub“ saugyklų. Ši problema, žinoma kaip Cross Fork Object Reference (CFOR) pažeidžiamumas, iškyla, kai įsipareigojimai bet kuriai šakutės tinklo saugyklai lieka pasiekiami, net jei saugykla ištrinta arba padaroma privačia.
„Stargazer Goblin“ sudėtingas „GitHub“ naudojimas kenkėjiškų programų platinimui parodo besikeičiančią grėsmės veikėjų taktiką išnaudojant teisėtas platformas. Kadangi šios operacijos tampa vis sudėtingesnės, saugos priemonės turi nuolat prisitaikyti, kad būtų pašalintos naujos pažeidžiamumas ir apsisaugota nuo tokių kenkėjiškų tinklų.
