Check Point’teki siber güvenlik araştırmacıları, en az Haziran 2023’ten bu yana kötü amaçlı yazılım ve kimlik avı bağlantıları dağıtan Stargazers Ghost Network adı verilen karmaşık bir GitHub hesapları ağı ortaya çıkardı.
Stargazer Goblin adlı bir tehdit aktörü tarafından işletilen bu ağ, popüler kod barındırma platformunda kötü amaçlı yazılım dağıtımında yeni ve endişe verici bir eğilimi temsil ediyor.
E-posta ekleri gibi geleneksel kötü amaçlı yazılım dağıtım yöntemleri yoğun bir şekilde izlenmeye başlandı. Buna karşılık, tehdit aktörleri taktiklerini geliştirdiler.
Stargazers Ghost Network, bu taktiklerde önemli bir ilerlemeyi temsil ediyor. Kötü amaçlı yazılımları dağıtmak için dünyanın en büyük açık kaynaklı kod barındırma platformu olan GitHub’ı kullanıyor. Bu ağ, kötü amaçlı depoları yıldızlayan, çatallayan ve izleyen “hayalet” hesaplar kullanıyor ve popülerlik ve güvenilirlik yanılsaması yaratıyor.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Ağ, kötü amaçlı bağlantılar ve şifrelenmiş arşivler barındıran depolar oluşturarak çalışır. Bu depolar daha sonra diğer hayalet hesaplar tarafından yıldızlandırılır ve çatallanır, bu da algılanan meşruiyetlerini artırır.
Kötü amaçlı bağlantılar genellikle kimlik avı şablonlarına veya kötü amaçlı yazılımların doğrudan indirilmesine yol açar. Ocak 2024’teki bir kampanya sırasında ağ, kullanıcı kimlik bilgilerini ve kripto para cüzdanlarını çalmak için tasarlanmış bir kötü amaçlı yazılım olan Atlantida stealer’ı dağıttı.
Check Point Research raporuna göre, Stargazers Ghost Network, kötü amaçlı havuzlara yıldız ekleme, çatallama ve abone olma gibi faaliyetlerde bulunan 3.000’den fazla aktif hesaptan oluşuyor.
Bu eylemler, depolara meşruiyet havası katarak, şüphesiz kullanıcılara güvenilir projeler olarak görünmelerini sağlar. Bu ağ, bir Hizmet Olarak Dağıtım (DaaS) olarak çalışır ve tehdit aktörlerinin kötü amaçlı bağlantıları ve kötü amaçlı yazılımları verimli bir şekilde paylaşmasına ve dağıtmasına olanak tanır.
Ağın faaliyetleri Ağustos 2022’ye kadar uzanıyor ve Mayıs ortasından Haziran 2024 ortasına kadar faaliyetlerde önemli bir artış gözlemlendi. Bu süre zarfında Stargazer Goblin’in yaklaşık 8.000 dolar kazandığı tahmin ediliyor, ancak ağın ömrü boyunca toplam kazancın yaklaşık 100.000 dolar olduğuna inanılıyor.
Yıldız Gözlemcileri Hayalet taktikleri
- GitHub Topluluk Araçlarını Yönetme
- Sahte Depolar Oluşturma
- Otomatik Katılım
- Hizmet Olarak Dağıtım (DaaS)
- Meşru Depolara Saldırı
Kötü Amaçlı Yazılım Aileleri ve Dağıtım Yöntemleri
Stargazers Ghost Network, aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı yazılımları dağıtmak için kullanıldı:
- Atlantida Stealer
- Rhadamanthy’ler
- YükselişPro
- Lumma Hırsızı
- Kırmızı cizgi
Bu kötü amaçlı yazılım türleri, kullanıcı kimlik bilgilerini, kripto para cüzdanlarını ve diğer kişisel olarak tanımlanabilir bilgileri (PII) çalmak için tasarlanmıştır. Ağ, kötü amaçlı yazılımları yaymak için README.md dosyalarındaki kötü amaçlı bağlantıları ve depoların Sürümler bölümündeki parola korumalı arşivleri kullanmak gibi çeşitli taktikler kullanır.
Ağın karmaşıklığı, kötü amaçlı içerik dağıtırken meşruiyet görünümünü koruyabilme becerisinde yatmaktadır. Ağ içindeki hesaplar, hesap yasakları veya depo kaldırma işlemlerinin neden olduğu kesintilerden sorunsuz bir şekilde kurtulmayı ve hızlı bir şekilde kurtarmayı sağlamak için çeşitli roller üstlenir.
Örneğin, bir hesap kimlik avı deposu şablonunu sunabilir, bir diğeri kimlik avı şablonu için resimler sağlayabilir ve üçüncü bir hesap parola korumalı arşivler aracılığıyla kötü amaçlı yazılım dağıtımını yönetebilir.
Kötü amaçlı yazılım sunan bir hesap yasaklandığında, ağ, kimlik avı deposunu aktif bir kötü amaçlı yazılım sürümüne yeni bir bağlantıyla hızla günceller ve operasyonel kesinti süresini en aza indirir. Bu bölümlere ayrılmış yapı, ağın hızla uyum sağlamasını ve kötü amaçlı faaliyetlerine en az kayıpla devam etmesini sağlar.
Stargazers Ghost Network’ün keşfi, tehdit aktörlerinin GitHub gibi meşru platformları kötü amaçlı amaçlar için giderek daha fazla kullanmalarının evrimleşen taktiklerini vurgulamaktadır. Bu ağ yalnızca bireysel kullanıcılar için önemli bir tehdit oluşturmakla kalmaz, aynı zamanda yazılım dağıtımında kullanılan platformların sağlam siber güvenlik önlemlerine ve dikkatli bir şekilde izlenmesine olan ihtiyacı da vurgular.
GitHub, bir platform olarak ortamının açıklığı ve iş birliğine dayalı yapısı ile kullanıcıları kötü amaçlı faaliyetlerden koruma ihtiyacı arasında bir denge kurma zorluğuyla karşı karşıyadır.
Stargazers Ghost Network, kötü amaçlı yazılım dağıtımında yeni bir sınır temsil ediyor ve algılamayı önlemek ve operasyonel verimliliği korumak için karmaşık taktikler kullanıyor. Tehdit aktörleri yenilik yapmaya devam ederken, hem platform sağlayıcıları hem de kullanıcılar uyanık kalmalı ve bu tür ağların oluşturduğu riskleri azaltmak için proaktif siber güvenlik önlemleri benimsemelidir.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo