Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Tehdit Aktörleri GitHub’ın Sahte Hesap Ağından Kar Sağlıyor
Prajeet Nair (@prajeetskonuşuyor) •
29 Temmuz 2024
Kötü amaçlı yazılımlara karşı gelişmiş ağ tespit teknolojisinin de etkisiyle engellenen bilgisayar korsanları, virüslerle dolu kötü amaçlı bağlantıları ve arşivleri barındırmak için sahte GitHub depolarına yöneliyor.
Ayrıca bakınız: Siber Kurtarma Rehberinizi Nasıl Oluşturursunuz
Check Point’teki güvenlik araştırmacıları, firmanın “Stargazer Goblin” adını verdiği bir tehdit grubuna ait çok sayıda depo aracılığıyla kötü amaçlı yazılım dağıtmak için kullanılan 3.000’den fazla hesaptan oluşan bir ağ tespit ettiklerini söylüyor. Check Point, hacker grubunun ömrü boyunca muhtemelen yaklaşık 100.000 dolar kazandığını tahmin ediyor.
Araştırmacılar, Stargazer Goblin’in Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ve RedLine dahil olmak üzere bir dizi kötü amaçlı yazılım sunduğunu söyledi. Ağ ilk olarak Ağustos 2022’de ortaya çıktı. Daha küçük ölçekli bir proje olarak başladı ve kademeli olarak mevcut boyutuna genişledi.
Tehdit aktörü, kötü amaçlı kod barındırmak için yalnızca GitHub depolarını kullanan bilgisayar korsanlarından bir adım ötededir. Stargazer Goblin, hesaplara akran onayı görünümü vermek, depolara sanal yıldızlar vermek, kendilerini gözlemci olarak eklemek için geniş ağını kullanır ve sözde çatallar oluşturur. Kötü amaçlı yazılımı kurban makinelerine indirmek için bir URL’ye güvendiğinde, tehdit aktörü ayrıca başka bir kötü amaçlı depoya veya Discord gibi meşru görünen harici bir web sitesine işaret eder.
Check Point, GitHub’ın kötü amaçlı yazılım dağıtıcısı olarak artan ilgisini açıklamak için “Kötü amaçlı ekler içeren e-postalar aracılığıyla kötü amaçlı yazılım dağıtımının geleneksel yöntemleri sıkı bir şekilde izleniyor ve genel halk bu taktiklerin daha fazla farkına vardı,” diye yazdı. Elbette tüm hackerlar e-postadan vazgeçmiş değil (bkz: E-posta Ağ Geçidi Güvenlik Açıkları Yeni Kötü Amaçlı Yazılım Taktiklerine Olanak Sağlıyor).
Check Point, Stargazer Goblin’in kötü amaçlı yazılım depolarına olan güveni kendi kendine referansla oluşturmak için ağını kullanmasının yanı sıra, kötü amaçlı yazılım dağıtım sistemini olası saldırılara karşı dayanıklı tutmak için de depoları kullandığını söyledi.
Bir indirme bağlantısını başka bir depoya yönlendiren bir depoda ve operasyonun diğer parçalarını (örneğin kimlik avı şablonları) barındıran ek depolarda barındırmak suretiyle, tehdit aktörü “kötü amaçlı faaliyetler nedeniyle hesapların veya depoların yasaklanması nedeniyle oluşabilecek bozuk bağlantıları hızla ‘düzeltebilir’.”
Check Point Research ayrıca ağın bakım ve kurtarma süreçlerini vurguladı. Hesaplar veya depolar yasaklandığında, Stargazer Goblin bağlantıları hızla günceller ve yeni hesaplar oluşturarak sürekli operasyonları garanti altına alır.