ハッカーは、広く使用されている Godot ゲームエンジンの機能を悪用した新たなマルウェア GodLoader を使用して検出を回避し、わずか 3 か月の間に 17,000 台以上のシステムを感染させています。
チェック・ポイントの調査によると、このマルウェアは、Windows、macOS、Linux、Android、iOSなど、すべての主要プラットフォームにおいて、ゲームユーザーを標的にすることができます。
また、Godotの柔軟性とGDScriptスクリプト言語機能を利用して任意のコードを実行したり、ゲーム資産をパッケージ化したゲームエンジンの.pckファイルを使って検知システムを回避し、有害なスクリプトを埋め込んだりすることも可能です。
一度ロードされると、悪意を持って細工されたファイルは、被害者のデバイス上で悪意のあるコードをトリガーし、攻撃者が認証情報を盗んだり、XMRig暗号マイナーを含む追加のペイロードをダウンロードしたりすることを可能にします。このマイナー・マルウェアの設定は、5月にアップロードされた非公開のPastebinファイル上でホストされており、キャンペーン期間中、206,913回アクセスされました。
「少なくとも2024年6月29日以降、サイバー犯罪者はGodot Engineを利用して、悪意のあるコマンドをトリガーしてマルウェアを配信する、細工されたGDScriptコードを実行しています。チェック・ポイントによると、この手口はVirusTotalに登録されているほとんどのアンチウイルス・ツールで検出されないままであり、わずか数ヶ月の間に17,000台以上のマシンが感染した可能性があります。
「Godotは、オープンソースであることと強力な機能を評価する開発者のコミュニティが活気づき、成長しています。また、「Discord、YouTube、その他のソーシャル・メディア・プラットフォームでは、Godotエンジンのフォロワーが約8万人存在し、最新情報を発信している」という。
攻撃者は、一見正当なGitHubリポジトリを使って活動を隠蔽するマルウェアDaaS(Distribution-as-a-Service)であるStargazers Ghost Networkを通じて、GodLoaderマルウェアを配信した。
Stargazersは、2024年9月から10月にかけて、225を超えるStargazer Ghostアカウントが管理する200を超えるリポジトリを利用して標的のシステムにマルウェアを展開し、オープンソースのプラットフォームや一見正当なソフトウェア・リポジトリに対する潜在的な被害者の信頼を悪用しました。
チェック・ポイントは、このキャンペーンを通じて、9月12日から10月3日にかけて、開発者やゲーマーに対して、感染したツールやゲームをダウンロードさせる攻撃を4回にわたり検知しました。
セキュリティ研究者は、Windowsシステムを標的としたGodLoaderのサンプルのみを発見しましたが、LinuxおよびmacOSシステムを攻撃するために、このマルウェアがいかに簡単に適応できるかを示すGDScriptの概念実証のエクスプロイト・コードも開発しました。
これらの攻撃で使用されているStargazers Ghost Network DaaSプラットフォームの背後にいる脅威アクターであるStargazer Goblinは、2023年6月にダークウェブ上でこのマルウェア配布サービスを宣伝しているところをチェック・ポイントによって初めて観測されました。しかし、少なくとも2022年8月から活動していた可能性が高く、このサービスが開始されて以来、10万ドル以上の収入を得ています。
Stargazers Ghost Networkは、3,000を超えるGitHubの「ゴースト」アカウントを使用し、マルウェア(主にRedLine、Lumma Stealer、Rhadamanthys、RisePro、Atlantida Stealerなどの情報窃取ツール)の配信に使用できる数百のリポジトリのネットワークを作成し、これらの悪意のあるリポジトリにスターをつけたり、フォークしたり、サブスクライブしたりして、GitHubのトレンドセクションにプッシュし、見かけ上の正当性を高めています。
更新 11月27日 18:19 EST:Godot Engineのメンテナであり、セキュリティ・チームのメンバーでもあるRémi Verscheldeから、公開後に以下の声明が届きました。
Check Point Researchのレポートにあるように、この脆弱性はGodot固有のものではありません。ゴドー・エンジンはスクリプト言語を使ったプログラミング・システムです。例えば、PythonやRubyのランタイムに似ている。どのようなプログラミング言語でも悪意のあるプログラムを書くことは可能です。私たちは、Godotが他のそのようなプログラムよりも特にそうするのに適しているともそうでないとも考えていません。
単にGodotのゲームやエディタをシステムにインストールしているだけのユーザーは、特に危険にさらされることはありません。私たちは、信頼できるソースからのソフトウェアだけを実行するように人々に勧めます。
技術的な詳細について:
Godotは”.pck “ファイルのファイルハンドラを登録しません。つまり、悪意のある行為者は常にGodotランタイムを.pckファイルと一緒に出荷しなければなりません。ユーザーは常にランタイムを.pckと一緒に同じ場所に解凍し、ランタイムを実行しなければなりません。他のOSレベルの脆弱性がない限り、悪意のある行為者が「ワンクリック・エクスプロイト」を作成する方法はない。もしそのようなOSレベルの脆弱性が使用された場合、ランタイムのサイズが大きいため、Godotは特に魅力的な選択肢とはならないだろう。
これは、PythonやRubyで悪意のあるソフトウェアを書くのと似ており、悪意のある行為者は、python.exeやruby.exeを悪意のあるプログラムと一緒に出荷しなければならない。
Comments