Sieć Stargazers Ghost utworzona za pośrednictwem fałszywych kont GitHub w celu rozprzestrzeniania złośliwego oprogramowania
Wyrafinowany ugrupowanie cyberprzestępcze znane jako Stargazer Goblin zbudował rozległą sieć fałszywych kont GitHub, aby ułatwić operację dystrybucji jako usługi (DaaS). Program ten odegrał kluczową rolę w rozprzestrzenianiu różnych złośliwych programów kradnących informacje, generując nielegalne zyski w wysokości 100 000 dolarów w ciągu ostatniego roku.
Table of Contents
Sieć duchów Stargazers
Ta rozległa sieć, nazwana przez badaczy Check Point „Stargazers Ghost Network”, składa się z ponad 3000 kont GitHub. Konta te są wykorzystywane do dystrybucji złośliwych linków i złośliwego oprogramowania w tysiącach repozytoriów. Do rodzin szkodliwego oprogramowania rozpowszechnianych za pośrednictwem tej sieci należą Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer i RedLine.
Struktura i strategia
Sieć Stargazers Ghost Network wykorzystuje kilka strategii, aby utrzymać swoją działalność i uniknąć wykrycia:
- Różnorodność kont : różnym kontom przypisuje się określone role, takie jak hosting szablonów phishingowych, dostarczanie obrazów lub dystrybucja złośliwego oprogramowania podszywającego się pod crack lub kody do gier.
- Taktyka odporności : gdy GitHub wykrywa i blokuje określone konta, sieć szybko się dostosowuje, aktualizując repozytoria nowymi linkami, minimalizując zakłócenia operacyjne.
- Mimikra legitymizacji : konta angażują się w działania takie jak oznaczanie gwiazdek, rozwidlanie i oglądanie repozytoriów, aby stworzyć pozory legalności.
Rola kont „duchów”.
Według badacza bezpieczeństwa Antonisa Terefosa sieć kont „Ghost” nie tylko rozpowszechnia złośliwe oprogramowanie, ale także angażuje się w działania, które sprawiają, że konta te wyglądają na legalnych użytkowników. Ta taktyka pomaga uniknąć podejrzeń i utrzymać trwałość złośliwych repozytoriów.
Bieżące operacje i korekty
Aktywna od sierpnia 2022 r. sieć Stargazers Ghost Network została po raz pierwszy reklamowana jako DaaS w lipcu 2023 r. Jedna z godnych uwagi kampanii obejmowała złośliwe łącze do GitHub prowadzące do skryptu PHP w witrynie WordPress, która ostatecznie uruchomiła Atlantida Stealer za pomocą skryptu PowerShell. Za pośrednictwem tej sieci rozprzestrzeniają się także inne rodziny szkodliwego oprogramowania, takie jak Lumma Stealer, RedLine Stealer, Rhadamanthys i RisePro.
Rozszerzenie na wiele platform
Sieć nie ogranicza się wyłącznie do GitHuba; obsługuje podobne konta „Ghost” na platformach takich jak Discord, Facebook, Instagram, X i YouTube. Ta wieloplatformowa obecność zwiększa odporność i zasięg ich złośliwych operacji.
Niedawne kampanie wymuszenia
W związku z tym nieznani ugrupowania zagrażające atakują repozytoria GitHub od lutego 2024 r. Napastnicy usuwają zawartość repozytoriów i żądają okupu za pośrednictwem Telegramu pod przykrywką użytkownika o imieniu Gitloker. Atak ten wykorzystuje wiadomości e-mail phishingowe w celu nakłonienia programistów do autoryzacji złośliwej aplikacji OAuth, która usuwa dane z repozytorium.
Zalecenie dotyczące bezpieczeństwa: Luka w zabezpieczeniach CFOR
Truffle Security wydało zalecenie podkreślające potencjał dostępu do wrażliwych danych z usuniętych forków i prywatnych repozytoriów w GitHub. Problem ten, znany jako luka w zabezpieczeniach typu Cross Fork Object Reference (CFOR), pojawia się, gdy zatwierdzenia w dowolnym repozytorium w sieci fork pozostają dostępne, nawet jeśli repozytorium zostanie usunięte lub ustawione jako prywatne.
Wyrafinowane wykorzystanie GitHuba przez Stargazer Goblin do dystrybucji złośliwego oprogramowania ukazuje ewoluującą taktykę cyberprzestępców w wykorzystywaniu legalnych platform. W miarę jak operacje te stają się coraz bardziej skomplikowane, środki bezpieczeństwa muszą stale dostosowywać się, aby eliminować nowe luki w zabezpieczeniach i chronić przed takimi złośliwymi sieciami.
