スターゲイザーズゴーストネットワーク
Stargazer Goblin と特定された脅威アクターは、さまざまな種類の情報窃取マルウェアを配布する Distribution-as-a-Service (DaaS) オペレーションを実行するために偽の GitHub アカウントのネットワークを作成し、過去 1 年間で 10 万ドルの不法な利益を上げました。
Stargazers Ghost Network として知られるこのネットワークには、クラウドベースのコード ホスティング プラットフォーム上の 3,000 を超えるアカウントが含まれており、悪意のあるリンクやマルウェアを共有するために使用される数千のリポジトリにまたがっています。
このネットワークを通じて拡散するマルウェア ファミリーには、Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer、RedLine などがあります。さらに、偽アカウントは、これらの悪意のあるリポジトリにスターを付けたり、フォークしたり、監視したり、サブスクライブしたりするなどのアクティビティを行って、正当であるように見せかけます。
目次
通常のユーザーを装った悪質なアカウント
このネットワークは2022年8月から何らかの予備的な形で活動していたと考えられていますが、DaaSの広告は2023年7月初旬まで暗闇の中で発見されませんでした。脅威アクターは現在、「ゴースト」アカウントのネットワークを運営しており、リポジトリ上の悪意のあるリンクや暗号化されたアーカイブを介してマルウェアを配布しています。
このネットワークはマルウェアを配布するだけでなく、これらの「ゴースト」アカウントを通常のユーザーとして見せかけ、その行動と関連するリポジトリに偽の正当性を与えるさまざまなアクティビティも提供します。
さまざまなカテゴリの GitHub アカウントが、プラットフォーム上で悪意のあるペイロードがフラグ付けされたときに GitHub による削除の取り組みに対してインフラストラクチャの耐性を高めるために、このスキームのさまざまな側面を担当しています。
脅威アクターが利用するさまざまな種類のアカウント
ネットワークは、さまざまな機能のためにさまざまな種類のアカウントを使用しています。フィッシング リポジトリ テンプレートを管理するアカウントもあれば、これらのテンプレートに画像を提供するアカウントもあり、また、クラックされたソフトウェアやゲームのチートを装ったパスワードで保護されたアーカイブ内のマルウェアをリポジトリにプッシュするアカウントもあります。
GitHub が 3 番目のアカウント セットを検出して禁止した場合、Stargazer Goblin は最初のセットのフィッシング リポジトリをアクティブな悪意のあるリリースへの新しいリンクで更新し、運用の中断を最小限に抑えます。
複数のリポジトリからの新しいリリースに「いいね!」を付けたり、README.md ファイルのダウンロード リンクを変更したりすることに加えて、ネットワーク内の一部のアカウントが侵害され、その資格情報が窃盗型マルウェアによって取得された可能性があることを示す証拠があります。
研究者は通常、リポジトリ アカウントと Stargazer アカウントは禁止やリポジトリの削除の影響を受けないことが多いのに対し、コミット アカウントとリリース アカウントは悪意のあるリポジトリが発見されると禁止されることが多いことに気づいています。禁止されたリリース リポジトリへのリンクを含むリンク リポジトリもよく見られます。このような場合、関連付けられたコミット アカウントは悪意のあるリンクを新しいものに更新します。
さまざまなマルウェアの脅威が展開される
専門家によって発見されたキャンペーンの 1 つには、GitHub リポジトリにつながる悪意のあるリンクが含まれています。このリポジトリは、WordPress サイトでホストされている PHP スクリプトにユーザーを誘導し、次に HTML アプリケーション (HTA) ファイルを配信して、PowerShell スクリプト経由で Atlantida Stealer を実行します。
DaaS は、Atlantida Stealer に加えて、Lumma Stealer、RedLine Stealer、Rhadamanthys、RisePro などの他のマルウェア ファミリも配布しています。専門家は、これらの GitHub アカウントが、Discord、Facebook、Instagram、X、YouTube などの他のプラットフォームで同様の「ゴースト」アカウントを運用する、より広範な DaaS ネットワークの一部であることを確認しています。
結論
Stargazer Goblin は、GitHub の正当なサイトとしての評判を利用して巧妙に検出を回避する、非常に洗練されたマルウェア配布操作を開発しました。このアプローチは、悪意のある活動の疑いを回避し、GitHub が介入した場合の被害を軽減するのに役立ちます。
Stargazers Ghost Network は、リポジトリのスター付け、リポジトリのホスティング、フィッシング テンプレートのコミット、悪意のあるリリースのホスティングなど、さまざまなタスクにさまざまなアカウントとプロファイルを使用することで、損失を最小限に抑えることができます。GitHub が業務を妨害した場合、通常はネットワークの一部にのみ影響が及ぶため、インフラストラクチャの残りの部分は最小限の影響で機能し続けることができます。
