Stargazers Ghost Network
Ein Bedrohungsakteur namens Stargazer Goblin hat ein Netzwerk aus gefälschten GitHub-Konten erstellt, um einen Distribution-as-a-Service (DaaS)-Vorgang zu betreiben, der verschiedene Arten von Malware verbreitet, die Informationen stiehlt. Damit hat er im vergangenen Jahr illegal 100.000 US-Dollar verdient.
Dieses Netzwerk, bekannt als Stargazers Ghost Network, umfasst mehr als 3.000 Konten auf der Cloud-basierten Code-Hosting-Plattform und erstreckt sich über Tausende von Repositories, die zum Teilen bösartiger Links und Malware verwendet werden.
Zu den Malware-Familien, die über dieses Netzwerk verbreitet werden, gehören Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer und RedLine. Darüber hinaus beteiligen sich die gefälschten Konten an Aktivitäten wie dem Markieren, Forken, Beobachten und Abonnieren dieser bösartigen Repositories, um den Anschein von Legitimität zu erwecken.
Inhaltsverzeichnis
Bösartige Konten, die sich als normale Benutzer ausgeben
Es wird angenommen, dass das Netzwerk seit August 2022 in einer vorläufigen Form aktiv ist, obwohl erst Anfang Juli 2023 im Dunkeln eine Werbung für das DaaS entdeckt wurde. Die Bedrohungsakteure betreiben jetzt ein Netzwerk von „Ghost“-Konten, die Malware über bösartige Links in ihren Repositories und verschlüsselten Archiven als Release verbreiten.
Dieses Netzwerk verbreitet nicht nur Schadsoftware, sondern bietet auch verschiedene andere Aktivitäten an, die diese „Geisterkonten“ als normale Benutzer erscheinen lassen und ihren Aktionen und den zugehörigen Repositories eine falsche Legitimität verleihen.
Verschiedene Kategorien von GitHub-Konten sind für unterschiedliche Aspekte des Schemas verantwortlich. Damit soll ihre Infrastruktur widerstandsfähiger gegen Abschaltungsversuche von GitHub gemacht werden, wenn auf der Plattform bösartige Nutzdaten gekennzeichnet werden.
Verschiedene Arten von Konten, die von den Bedrohungsakteuren verwendet werden
Das Netzwerk verwendet verschiedene Arten von Konten für unterschiedliche Funktionen: Einige Konten verwalten Vorlagen für Phishing-Repositorys, andere stellen Bilder für diese Vorlagen bereit und wieder andere übertragen Malware in kennwortgeschützten Archiven, getarnt als gecrackte Software oder Spiele-Cheats, in die Repositorys.
Wenn GitHub den dritten Satz von Konten erkennt und sperrt, aktualisiert Stargazer Goblin das Phishing-Repository des ersten Satzes mit einem neuen Link zu einer aktiven Schadversion und minimiert so Betriebsunterbrechungen.
Zusätzlich zum „Gefällt mir“ auf neuen Veröffentlichungen aus mehreren Repositories und der Änderung von Download-Links in den README.md-Dateien deuten Beweise darauf hin, dass einige Konten im Netzwerk kompromittiert worden sein könnten, wobei ihre Anmeldeinformationen wahrscheinlich durch Stealer-Malware erlangt wurden.
Forscher stellen normalerweise fest, dass Repository- und Stargazer-Konten häufig von Sperrungen und Repository-Abschaltungen unberührt bleiben, während Commit- und Release-Konten normalerweise gesperrt werden, sobald ihre bösartigen Repositories entdeckt werden. Es kommt auch häufig vor, dass Link-Repositories Links zu gesperrten Release-Repositories enthalten. In diesem Fall aktualisiert das zugehörige Commit-Konto den bösartigen Link durch einen neuen.
Verschiedene Malware-Bedrohungen im Einsatz
Eine der von Experten aufgedeckten Kampagnen enthält einen bösartigen Link, der zu einem GitHub-Repository führt. Dieses Repository leitet Benutzer zu einem PHP-Skript weiter, das auf einer WordPress-Site gehostet wird und dann eine HTML-Anwendungsdatei (HTA) liefert, um Atlantida Stealer über ein PowerShell-Skript auszuführen.
Neben Atlantida Stealer verbreitet das DaaS auch andere Malware-Familien, darunter Lumma Stealer, RedLine Stealer, Rhadamanthys und RisePro. Experten haben festgestellt, dass diese GitHub-Konten Teil eines größeren DaaS-Netzwerks sind, das ähnliche „Ghost“-Konten auf anderen Plattformen wie Discord, Facebook, Instagram, X und YouTube betreibt.
Abschluss
Stargazer Goblin hat eine hochentwickelte Malware-Verteilungsmethode entwickelt, die sich der Entdeckung geschickt entzieht, indem sie den Ruf von GitHub als legitime Site ausnutzt. Dieser Ansatz hilft, den Verdacht auf bösartige Aktivitäten zu vermeiden und den Schaden zu verringern, wenn GitHub eingreift.
Durch die Verwendung einer Vielzahl von Konten und Profilen für unterschiedliche Aufgaben – wie das Markieren von Repositories, deren Hosten, das Übermitteln von Phishing-Vorlagen und das Hosten bösartiger Releases – kann das Stargazers Ghost Network seine Verluste begrenzen. Wenn GitHub den Betrieb unterbricht, betrifft dies normalerweise nur einen Teil des Netzwerks, sodass der Rest der Infrastruktur mit minimalen Auswirkungen weiter funktioniert.
