“Stargazer Goblin” olarak bilinen bir tehdit grubu, GitHub’ı kullanarak kötü amaçlı yazılımları ve zararlı bağlantıları şüphelenmeyen kullanıcılara dağıtmanın yeni bir yolunu buldu.
GitHub’da kötü amaçlı yazılım barındırıp kullanıcıları istemeden virüslü bir kod paketini indirmeye zorlamak yerine (örneğin, kimlik avı e-postasındaki kötü amaçlı bir bağlantıya tıklamalarını sağlayarak), yeni taktik, binlerce sahte hesabı içeren sosyal mühendislikle oluşturulmuş bir etki operasyonu yoluyla kurbanları kötü amaçlı depoların meşru olduğuna ikna etmeyi içeriyor.
Operasyonu ortaya çıkaran Check Point Research (CPR) araştırmacıları bir raporda belirtildi Bu hafta saldırganın nihai amacının, halihazırda 3.000’den fazla aktif GitHub hesabından oluşan Stargazers Ghost Network adı verilen bir kötü amaçlı yazılım dağıtım hizmeti (DaaS) ağı çalıştırmak olduğu açıklandı.
Sahte Hesapların Geniş Bir Ağı
Tehdit grubu, kötü amaçlı yazılımları ve kötü amaçlı bağlantıları dağıtmak için bu hesapların nispeten küçük bir kısmını kullanıyor ve kalanlar, sahte depoların meşru görünmesini sağlamak için kullanılan sahte hesaplar. Bunu yapma taktikleri arasında, masumiyet görünümü vermek için sahte hesapları kötü amaçlı depolara yıldız vermek, çatallamak ve abone olmak için kullanmak yer alıyor.
Gruba ismini veren başrolgelecekte daha kolay bulunabilmeleri için GitHub’daki depoları yer imlerine eklemenin bir yoludur ve ayrıca belirli bir projeye olan takdiri göstermenin bir yoludur. Çatallanma, başka bir GitHub projesinin özdeş bir kopyasını oluşturmakla ilgilidir projeye değişiklikler önermenin veya kendi amaçlarınız doğrultusunda üzerine inşa etmenin bir yolu olarak; ve izlemek temelde son gelişmelerden haberdar olmanın bir yoludur bir projede. Mobil uygulama mağazalarındaki uygulamalarda olduğu gibi, kullanıcılar daha fazla yıldız, çatal ve gözlemciye sahip GitHub projelerini diğerlerinden daha güvenilir ve itibarlı olarak algılama eğilimindedir.
“Geçmişte, kötü amaçlı yazılımlar GitHub’da barındırılıyordu, ancak kötü amaçlı yazılımları barındıran depolar, normal bir kullanıcının barındırılan örneği indirip güveneceğini ve çalıştıracağını asla önermedi,” diyor CPR’de araştırmacı olan Antonis Terefos. “Şu anda, Stargazers Ghost Network aracılığıyla, hesapları kullanarak organik olarak hareket eden kötü amaçlı yazılım dağıtımının yeni bir dönemini yaşıyoruz. [and] kötü amaçlı depoları çatallamak [to make them appear] “Normal kullanıcılar için meşru olarak kabul edilir.”
Stargazer Goblin’in Dağıtım Hizmeti Olarak Oynatması
En azından Ağustos 2022’den beri ve muhtemelen daha da öncesinde, Stargazer Goblin, kötü amaçlı GitHub hesaplarını çeşitli kötü amaçlı yazılım ailelerini dağıtmak için kullandı; bunlara şunlar dahildir: Atlantida Hırsızı, Rhadamanthy’ler infostealer, RisePro, Redline ve Lumma HırsızıCPR araştırmacılarının bir Dark Web forumunda bulduğu, Temmuz 2023 tarihli İngilizce ve Rusça bir Stargazers Ghost Network reklamı, tehdit aktörünün 100 hesabı olan bir depoya “yıldız eklemek” için 10 dolar, boş “eski” bir depoya sahip bir hesaba destek sağlamak için ise 2 dolar talep ettiğini gösteriyordu; bu depolar genellikle yepyeni bir depodan daha güvenilirdir.
CPR ayrıca operasyonun muhtemelen GitHub’ın çok ötesine uzandığını söyledi.
CPR raporunda, “Stargazer Goblin’in GitHub, Twitter, YouTube, Discord, Instagram, Facebook ve daha birçok platformda faaliyet gösteren bir Ghost Network hesapları evreni yarattığına inanıyoruz” dedi. “GitHub’a benzer şekilde, diğer platformlar da kötü amaçlı kimlik avını meşrulaştırmak ve her platformun sunduğu özelliklere bağlı olarak gönderiler, depolar, videolar, tweetler ve kanallar aracılığıyla kurbanlara bağlantılar ve kötü amaçlı yazılımlar dağıtmak için kullanılabilir.”
Terefos, Stargazers Ghost Network’teki depoların çoğunun, kullanıcılar bir şey aradığında GitHub aramalarının en üstünde görünmelerini sağlayan etiketler kullandığını söylüyor. Tehdit grubu ayrıca, Discord gibiKötü amaçlı depoları kullanıcıların erişebileceği yerler olarak tanıtmak için oyun modlarıAdobe ve VPN yazılımları gibi crackli yazılımlar ve ücretsiz ticaret, yapay zeka ve coin madenciliği araçları.
“O zamandan beri geçen haftaki CrowdStrike etkinliğihangi tehdit aktörlerinin bunu yapmaya çalıştığını yararlanmakGhost Network’te CrowdStrike ‘drive-fixes’ depolarını izliyorduk. Şimdiye kadar hiçbiri olmadı,” diyor Terefos.[But] Bu, bir kullanıcının GitHub’da nasıl yapılacağını arayarak kötü amaçlı bir depoya nasıl ulaşabileceğine dair bir örnek olabilir [CrowdStrike] düzeltme. Kullanıcı, deponun birden fazla başka hesap tarafından yıldızlandırıldığını görecektir, bu da sağlanan ‘düzeltme/depo’nun çalıştığını gösterir. Bunun yerine, kullanıcı kötü amaçlı yazılımla enfekte oluyor.”