Компания Check Point Research обнаружила сложную сеть аккаунтов GitHub, получившую название Stargazers Ghost Network, которая распространяет вредоносное ПО через фишинговые репозитории.
Stargazer Goblin
Эта сеть, управляемая группой под названием Stargazer Goblin, работает как сервис распространения (DaaS), позволяя злоумышленникам распространять вредоносные ссылки и программное обеспечение. Сеть состоит из более чем 3 000 активных учетных записей-«призраков», которые придают репозиториям видимость легитимности, ставя на них звездочки, форки и подписываясь на них.
Эта операция распространяет различные семейства вредоносных программ, включая Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer и RedLine. Сеть начала свою работу в августе 2022 года, и, по последним наблюдениям, ее заработок составляет около 100 000 долларов.
Тактика Stargazer Goblin включает в себя создание фишинговых репозиториев с вредоносными ссылками, которые ставятся на звездочки и форкируются несколькими аккаунтами для придания легитимности. Сеть использует защищенные паролем архивы, чтобы избежать обнаружения, а когда аккаунт, распространяющий вредоносное ПО, заблокирован, новые ссылки быстро обновляются для поддержания работы.
Группа рекламирует свои услуги на форумах Dark-Web, предлагая за определенную плату создавать звезды, следить за репозиториями GitHub, форкать их и наблюдать за ними. Такая услуга обеспечивает постоянный поток жертв, привлеченных репозиториями, маскирующимися под легальные проекты.
Check Point Research установила, что эта тактика направлена не только на обычных пользователей, но и на потенциальных злоумышленников. Использование взломанных учетных записей еще больше усложняет обнаружение и борьбу с подобными действиями. Это открытие свидетельствует о переходе к более сложным и устойчивым методам распространения вредоносного ПО, что имеет последствия для будущих систем защиты кибербезопасности.
Indicators of Compromise
IPv4
- 185.172.128.95
IPv4 Port Combinations
- 147.45.44.73:1488
- 147.45.47.64:11837
- 147.78.103.199:2529
- 89.23.98.116:1444
URLs
- https://considerrycurrentyws.shop
- https://deprivedrinkyfaiir.shop
- https://detailbaconroollyws.shop
- https://distincttangyflippan.shop
- https://greentastellesqwm.shop
- https://horsedwollfedrwos.shop
- https://innerverdanytiresw.shop
- https://lamentablegapingkwaq.shop
- https://macabrecondfucews.shop
- https://messtimetabledkolvk.shop
- https://patternapplauderw.shop
- https://relaxtionflouwerwi.shop
- https://sideindexfollowragelrew.pw
- https://slamcopynammeks.shop
- https://standingcomperewhitwo.shop
- https://stickyyummyskiwffe.shop
- https://sturdyregularrmsnhw.shop
- https://understanndtytonyguw.shop
- https://vivaciousdqugilew.shop
SHA256
- 060de3b4cf3056f24de882b4408020cee0510cb1ff0e5007c621bc98e5b4bdf3
- 148c456e83e746a63e54ec5abda801731c42f3778e8eb0bf5a5c731b9a48c45d
- 2b6c8aa2ac917d978dfec53cef70eaca36764a93d01d93786cc0d84da47ce8e6
- 2ebf051f6a61fa825c684f1d640bfb3bd79add0afcff698660f83f22e6544cba
- 2f5624dcda1d58a45491028acc63ff3f1f89f564015813c52eebd80f51220383
- 385ebe3d5bd22b6a5ae6314f33a7fa6aa24814005284c79edaa5bdcf98e28492
- 64a49ff6862b2c924280d5e906bc36168112c85d9acc2eb778b72ea1d4c17895
- 8d8d7eb1180c13ed629dceac6c399c656692a6476c49047e0822bec6156a253a
- 98b7488b1a18cb0c5e360c06f0c94d19a5230b7b15d0616856354fb64929b388
- a484fa09be45608e23d8e67cd28675fa3e3c4111af396501385256ce34ff1d95
- ab59a8412e4f8bf3a7e20cd656edacf72e484246dfb6b7766d467c2a1e4cdab0