Şaşırtıcı bir şekilde, siber güvenlik uzmanları Stargazers Ghost Network olarak bilinen karmaşık bir kötü amaçlı yazılım dağıtım ağını ortaya çıkardı.
“Stargazer Goblin” lakaplı tehdit aktörü tarafından yönetilen bu ayrıntılı plan, çeşitli bilgi çalan kötü amaçlı yazılımları yaymak için kullanılan 3.000’den fazla sahte GitHub hesabını içeriyor.
Geçtiğimiz yıl yaklaşık 100 bin dolar tutarında yasadışı kazanç elde ettiği bildirilen bu operasyon, faaliyetlerini sürdürmek için Hizmet Olarak Dağıtım (DaaS) modelini kullanıyor.
Stargazers Ghost Network’ün Yapısı ve İşleyişi
Stargazers Ghost Network, bulut tabanlı kod barındırma platformu GitHub üzerine inşa edilmiş devasa bir operasyondur. Ağ, kötü amaçlı bağlantıların ve kötü amaçlı yazılımların dağıtıldığı binlerce depoya yayılmıştır.
Bu kurulum, tespit edilmekten kaçınmak ve meşruiyet maskesini korumak için tasarlanmıştır. Bu ağı tespit edip analiz eden Check Point Research, bu sahte hesapların, onları gerçekmiş gibi göstermek için yıldızlama, çatallama, izleme ve depolara abone olma gibi çeşitli faaliyetlerde bulunduğunu belirtmektedir.
Bu ağ tarafından yayılan kötü amaçlı yazılım aileleri arasında Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ve RedLine yer almaktadır. Stargazer Goblin grubu, kötü amaçlı faaliyetlerini desteklemek için bu sahte hesapları titizlikle oluşturur ve korur, yasakları ve tespitleri atlatmak için bunları sıklıkla günceller.
Başlangıçta, tehdit aktörleri kötü amaçlı yazılımları doğrudan dağıtmak için GitHub’ı kullandı. Ancak, taktikleri önemli ölçüde gelişti. Bugün, kötü amaçlı yazılımları görünüşte zararsız bağlantılar ve şifrelenmiş arşivler aracılığıyla dağıtan sözde “Hayalet” hesaplarından oluşan bir ağ işletiyorlar. Güvenlik araştırmacısı Antonis Terefos’un açıkladığı gibi, “Bu ağ yalnızca kötü amaçlı yazılım dağıtmakla kalmıyor, aynı zamanda bu ‘Hayalet’ hesapların normal kullanıcılar gibi görünmesini sağlayan faaliyetlerde bulunuyor ve eylemlerine sahte bir meşruiyet duygusu katıyor.
Ağın stratejisi farklı rollere sahip birden fazla hesabı içerir. Bir hesap kimlik avı deposu şablonunu yönetebilir, bir diğeri kimlik avı planlarında kullanılan görselleri sağlayabilir ve üçüncüsü kötü amaçlı yazılım dağıtıcısı olarak görev yapabilir. Bu iş bölümü, operasyonun kesintilere hızla uyum sağlayabilmesini ve faaliyetlerine en az kayıpla devam edebilmesini sağlar.
Stargazers Ghost Network’ün Etkisi ve Erişimi
Stargazers Ghost Network önemli bir etki yarattı. Örneğin, Ocak 2024’teki bir kampanya sırasında ağ, kullanıcı kimlik bilgilerini ve kripto para cüzdanlarını çalmak için tasarlanmış yeni bir kötü amaçlı yazılım türü olan Atlantida Stealer’ı dağıttı. Sadece dört gün içinde 1.300’den fazla kurban tehlikeye atıldı. Ağın etkisi GitHub’ın ötesine uzanıyor ve Discord, Facebook, Instagram, X (eski adıyla Twitter) ve YouTube gibi çeşitli platformlarda benzer hayalet hesaplar faaliyet gösteriyor ve kapsamlı bir DaaS ekosistemi yaratıyor.
Check Point’in bulguları, ağın yalnızca kötü amaçlı yazılım yaymadığını, aynı zamanda depolarının güvenilirliğini artırmak için GitHub’ın özelliklerini de manipüle ettiğini ortaya koyuyor. Kötü amaçlı depoları “yıldızlamak” ve onlarla etkileşim kurmak için birden fazla hesap kullanarak, meşruiyet yanılsaması yaratıyorlar ve kurbanların kötü amaçlı yazılımları indirmesini ve çalıştırmasını daha olası hale getiriyorlar.
Stargazers Ghost Network hakkındaki ifşalar diğer siber güvenlik endişelerinin ortasında geliyor. Örneğin, son raporlar bilinmeyen aktörlerin gasp için GitHub depolarını hedef aldığını gösteriyor. Bu saldırılar, depo içeriklerini silen ve geri yükleme için fidye ödemeleri talep eden kimlik avı e-postaları ve sahte OAuth uygulamalarını içeriyor. Ek olarak, Cross Fork Object Reference (CFOR) ile ilgili güvenlik açıkları vurgulandı ve hassas verilere bazen silinmiş veya özel depolarından bile erişilebildiğini gösterdi.
Truffle Security’den Joe Leon, “Bir depolama çatalı, özel ve silinmiş çatallardan gelen veriler de dahil olmak üzere başka bir çataldan hassas verilere erişebildiğinde bir CFOR güvenlik açığı oluşur. Bu, GitHub gibi platformlarda veri görünürlüğünün sınırlarını anlamanın önemini vurgular.” diyor.