Check Point araştırmacıları, Dağıtım Hizmeti olarak kötü amaçlı yazılım ve kimlik avı bağlantısı sağladığına inandıkları kapsamlı bir GitHub hesapları ağı ortaya çıkardı.
Araştırmacıların Stargazer Goblin adını verdiği bir tehdit grubu tarafından kurulan ve işletilen “Stargazers Ghost Network”ün, bir kısmı grup tarafından oluşturulan, bir kısmı da ele geçirilen 3.000’den fazla aktif hesabı kapsadığı tahmin ediliyor.
“Ağ, Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ve RedLine dahil olmak üzere her türlü kötü amaçlı yazılım ailesini dağıttı” buldular.
Kurulum
Tehdit aktörleri, kurbanlar, güvenlik yazılımları ve (kötüye) kullandıkları teklif ve varlıkların sahibi kuruluşlar tarafından tespit edilmeden kötü amaçlı yazılımları iletmenin yeni yollarını her zaman buluyorlar.
Check Point araştırmacısı Antonis Terefos, “Daha önce GitHub, kötü amaçlı yazılımları doğrudan dağıtmak için kullanılıyordu ve kötü amaçlı bir betik, ham şifrelenmiş betik kodunu veya kötü amaçlı yürütülebilir dosyaları indiriyordu” şeklinde açıklama yaptı.
“Tehdit aktörleri artık kötü amaçlı yazılımları depolarındaki kötü amaçlı bağlantılar ve şifrelenmiş arşivler aracılığıyla dağıtan bir ‘Hayalet’ hesap ağı işletiyor.”
GitHub’ın saldırgan hesapları işaretleme ve askıya alma ve kötü amaçlı depoları silme çabalarına rağmen ağı nasıl çalışır durumda tutuyorlar?
Tehdit aktörleri çeşitli hileler kullanıyor. Daha önce de belirtildiği gibi, kötü amaçlı dosyalar veya arşivler tarama çözümlerini engellemek için parola ile korunuyor.
Bir diğer numara da “sorumlulukları” çeşitli hesaplar arasında bölmektir: bazı hesaplar, harici web sitelerine veya kötü amaçlı havuzlara kötü amaçlı indirme bağlantıları içeren kimlik avı şablonları sunar, diğerleri kimlik avı şablonu için görüntü sağlar ve diğerleri de kötü amaçlı yazılımı (bir Sürümdeki parola korumalı bir arşiv olarak) sunmaya devam eder.
Stargazers Ghost Network’teki hesaplar çeşitli rolleri doldurur (Kaynak: Check Point Research)
Bu, üçüncü hesap kategorisi yasaklandığında tehdit aktörünün her zamanki işine geri dönmesini kolaylaştırır: Sadece ilk hesap kategorisindeki bağlantıyı yeni bir indirme sitesine veya yeni bir etkin kötü amaçlı yazılım sürümüne yönlendirecek şekilde güncellerler.
Son olarak, bazı hayalet hesaplar, diğer hesapların potansiyel kurbanlara ve GitHub’a meşru görünmesini sağlamak için yıldız ekleme, çatallama ve kötü amaçlı depolara abone olma gibi çeşitli diğer eylemler gerçekleştirir. Bu etkinlikler otomatik gibi görünüyor.
3.000 GitHub hesabı üzerinden kötü amaçlı yazılım dağıtımı
Terefos, “Kısa bir izleme süresinde, ‘Hayalet’ faaliyetlerinin gerçekleştiği 2.200’den fazla kötü amaçlı depo keşfettik” dedi.
Ocak 2024’te dört gün boyunca Stargazers Ghost Network, Atlantida hırsızını 1.300’den fazla mağdura dağıttı.
“GitHub depolarına yönelik kötü amaçlı bağlantılar muhtemelen Discord kanalları aracılığıyla dağıtıldı. Depolar, YouTube, Twitch ve Instagram’daki takipçilerini artırmak isteyen çeşitli kurban türlerini hedef alıyordu ve ayrıca kırılmış yazılımlar ve diğer kriptoyla ilgili faaliyetler için kimlik avı şablonları içeriyordu,” diye ekledi. (Yemler her zaman birçok kullanıcının aradığı bir şeydir.)
Dark web forumlarında bulunan hizmet reklamlarına bakılırsa, ağın 2023 yılının temmuz ayından beri, hatta muhtemelen daha önce de, daha küçük ölçekte faaliyette olduğu biliniyor.
“Stargazer Goblin’in GitHub, Twitter, YouTube, Discord, Instagram, Facebook ve daha birçok platformda faaliyet gösteren bir Ghost hesapları evreni yarattığına inanıyoruz. GitHub’a benzer şekilde, diğer platformlar da kötü amaçlı kimlik avını meşrulaştırmak ve her platformun sunduğu özelliklere bağlı olarak gönderiler, depolar, videolar, tweetler ve kanallar aracılığıyla kurbanlara bağlantılar ve kötü amaçlı yazılımlar dağıtmak için kullanılabilir,” diye belirtti Terefos.
GitHub, halihazırda 1.500’den fazla depoyu ve ilgili GitHub hesabını kapattı, ancak Haziran 2024’te hala kötü amaçlı bağlantılar gönderen 200’den fazla benzersiz depo vardı.
“Gelecekteki Hayalet hesapları, metinden görsellere ve videolara kadar daha hedefli ve çeşitli içerikler üretmek için Yapay Zeka (AI) modellerini kullanabilir. Hedeflenen kullanıcıların yanıtlarını dikkate alarak, bu AI destekli hesaplar yalnızca standartlaştırılmış şablonlar aracılığıyla değil, aynı zamanda gerçek kullanıcıların ihtiyaçlarına ve etkileşimlerine göre uyarlanmış özelleştirilmiş yanıtlar aracılığıyla da kimlik avı materyalini tanıtabilir,” diye sonlandırdı.