Minecraft stargazers

マインクラフト(Minecraft)のプレイヤーを標的とした大規模なマルウェア・キャンペーンが発生しています。

チェック・ポイント・リサーチが発見したこのキャンペーンは、Stargazers Ghost Networkによって行われており、Minecraftの大規模な改造エコシステムとGitHubのような合法的なサービスを活用して、潜在的なターゲットとなり得る多くのユーザーを獲得しています。

チェック・ポイントでは、ペイロードをターゲットの端末に配信するために脅威アクターが使用したPastebinリンクの閲覧数(ヒット数)を数千件確認しており、このキャンペーンが広範囲に及んでいることを示しています。

ステルス型Minecraftマルウェア

Stargazers Ghost Networkは、昨年からGitHub上で活動しているDaaS(Distribution-as-a-Service)活動であり、チェック・ポイントによって最初に文書化されたのは、3,000のアカウントが情報窃取者を拡散するキャンペーンでした。

偽のGitHubスターを利用した同作戦は、2024年後半にGodotベースの新種のマルウェアに17,000台以上のシステムを感染させたことが確認されています。

チェック・ポイントの研究者であるJaromír HořejšíとAntonis Terefosが説明する最新のキャンペーンは、すべてのアンチウイルス・エンジンによる検出を回避するJavaマルウェアでMinecraftを標的としています。

研究者は、Skyblock Extras、Polar Client、FunnyMap、Oringo、TaunahiのようなMinecraftのMODやチートを装って、Stargazersによって運営されている複数のGitHubリポジトリを発見しました。

“我々は、フォークまたはコピーされたものを含め、約500のGitHubリポジトリを確認しており、これらはMinecraftプレイヤーを狙ったこの作戦の一部であった “とAntonis Terefos氏は語った。

“我々はまた、約70のアカウントによって生成された700の星を見た。”

Four repositories participating in this operation
この作戦に参加している4つのリポジトリ
Source:チェック・ポイント

Minecraft内で実行されると、最初のステージのJARローダーは、Base64エンコードされたURLを使用してPastebinから次のステージをダウンロードし、Javaベースのステーラーを取得します。

このステイラーは、Minecraft ランチャーや Feather、Lunar、Essential などの人気の高いサードパーティ製ランチャーから、Minecraft のアカウントトークンやユーザーデータを盗み出します。

また、Discord や Telegram のアカウントトークンも盗もうとし、盗んだデータを HTTP POST リクエストで攻撃者のサーバーに送信します。

このJavaステイラーは、次のステージである「44 CALIBER」と呼ばれる.NETベースのステイラーのローダーとしても機能します。このステイラーは、より「伝統的な」情報ステイラーであり、ウェブブラウザ、VPNアカウントデータ、暗号通貨ウォレット、Steam、Discord、その他のアプリに保存された情報を盗み出そうとします。

Infection chain
感染チェーンの概要
出典チェック・ポイント

44 CALIBERはまた、システム情報やクリップボードのデータを収集し、被害者のコンピュータのスクリーンショットを取得することもできます。

「難読化の後、ブラウザ(Chromium、Edge、Firefox)、ファイル(デスクトップ、ドキュメント、%USERPROFILE%/Source)、暗号通貨ウォレット(Armory、AtomicWallet、BitcoinCore、Bytecoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash、Jaxx)、VPN(ProtonVPN、OpenVPN、NordVPN)、Steam、Discord、FileZilla、Telegram」と研究者は警告している。

盗まれたデータはDiscordのウェブフック経由で流出し、ロシア語のコメントが添えられている。この手がかりは、UTC+3のコミット・タイムスタンプと相まって、このキャンペーンの運営者がロシア人であることを示唆しています。

チェック・ポイントは、この脅威の検知とブロックに役立てるため、報告書の末尾に危険の指標(IoC)の全文を掲載しています。

このキャンペーンや類似のキャンペーンから安全に身を守るため、マイクロソフト社のプレイヤーは、信頼できるプラットフォームや検証済みのコミュニティ・ポータルからModをダウンロードし、信頼できるパブリッシャーに限定する必要があります。

GitHubからダウンロードするよう促された場合は、開始数、フォーク数、貢献者数をチェックし、偽の活動の兆候がないかコミットを精査し、リポジトリの最近のアクションをチェックします。

最終的には、MOD をテストするときは別の “バーナー” Minecraft アカウントを使い、メインのアカウントにログインしないようにするのが賢明です。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Tines Needle

ITチームが手作業によるパッチ管理をやめる理由

かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。

この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。