导 读
流行的开源游戏引擎 Godot Engine 被滥用为新GodLoader恶意软件活动的一部分,自 2024 年 6 月以来已感染了超过 17,000 个系统。
Check Point 在周三发布的一份新分析报告中指出: “网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码,从而触发恶意命令并传播恶意软件。VirusTotal中几乎所有的防病毒引擎都无法检测到这种技术。”
Godot Engine 是一个游戏开发平台,允许用户跨平台设计 2D 和 3D 游戏,包括 Windows、macOS、Linux、Android、iOS、PlayStation、Xbox、Nintendo Switch 和 Web。
多平台支持也使其成为攻击者手中具有吸引力的工具,威胁组织现在可以利用它来大规模瞄准和感染设备,从而有效地扩大攻击面。
Check Point 安全研究小组经理 Eli Smadja 在一份声明中表示:“Godot 引擎的灵活性使其成为网络犯罪分子的目标,使像 GodLoader 这样的隐秘跨平台恶意软件能够利用对开源平台的信任迅速传播。对于 Godot 开发的游戏的 120 万用户来说,其影响是深远的——不仅对他们的设备,而且对游戏生态系统本身的完整性也是如此。这对行业来说是一个警钟,要求其优先考虑主动的跨平台网络安全措施,以领先于这一令人担忧的趋势。”
此次活动的突出之处在于,它利用Stargazers Ghost Network(在本例中是一组大约 200 个 GitHub 存储库和超过 225 个虚假账户)作为 GodLoader 的分发载体。
Check Point 表示:“这些账户一直关注分发 GodLoader 的恶意存储库,使其看起来合法且安全。这些存储库分四批发布,主要针对开发人员、游戏玩家和普通用户。”
在 2024 年 9 月 12 日、9 月 14 日、9 月 29 日和 10 月 3 日观察到的攻击被发现使用 Godot Engine 可执行文件(也称为 pack(或 .PCK)文件)来投放加载程序恶意软件,然后该恶意软件负责从 Bitbucket 存储库下载并执行最后阶段的有效负载,例如 RedLine Stealer 和 XMRig 加密货币矿工。
此外,该加载程序还包含绕过沙盒和虚拟环境中的分析功能,并将整个 C: 驱动器添加到 Microsoft Defender 防病毒排除列表中,以防止检测到恶意软件。
该网络安全公司表示,GodLoader 工具主要针对 Windows 机器,但它指出,将其改编为感染 macOS 和 Linux 系统是轻而易举的事。
更重要的是,虽然当前的攻击涉及威胁组织构建自定义 Godot Engine 可执行文件以进行恶意软件传播,但在获取用于提取 .PCK 文件的对称加密密钥后,可以通过篡改合法的 Godot 构建的游戏将攻击升级。
可以通过切换到依赖公钥和私钥对来加密/解密数据的非对称密钥算法(又名公钥加密)来避免这种攻击。
这一恶意活动再次提醒我们,威胁组织经常利用合法服务和品牌来逃避安全机制,因此要求用户只能从可信来源下载软件。
Check Point 表示:“攻击者利用 Godot 的脚本功能创建自定义加载器,而许多传统安全解决方案都无法检测到这些加载器。”“由于 Godot 的架构允许与平台无关的有效负载传递,攻击者可以轻松地在 Windows、Linux 和 macOS 上部署恶意代码,甚至可以尝试针对 Android 系统。”
“将高度针对性的传播方法与隐蔽且不易被发现的技术相结合,导致感染率极高。这种跨平台方法增强了恶意软件的多功能性,为威胁组织提供了一种可以轻松针对多个操作系统的强大工具。这种方法使攻击者能够更有效地在各种设备上传播恶意软件,从而最大限度地扩大其影响范围和影响力。”
技术报告:https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders/
新闻链接:
https://thehackernews.com/2024/11/cybercriminals-exploit-popular-game.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
APT-C-60 黑客在 SpyGlace 恶意软件活动中利用 StatCounter 和 Bitbucket
https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html
俄罗斯网络间谍入侵目标街对面的大楼,实施 Wi-Fi 攻击
https://www.securityweek.com/russian-cyberspies-hacked-building-across-street-from-target-for-wi-fi-attack/
俄罗斯黑客组织Romcom利用0day漏洞攻击 Firefox、Tor 用户
https://www.pcmag.com/news/russian-hackers-used-zero-day-attack-to-hit-firefox-tor-users
与俄罗斯有关的 APT TAG-110 的目标是欧洲和亚洲
https://securityaffairs.com/171343/apt/tag-110-targets-asia-europe.html
Gelsemium黑客组织利用新型间谍恶意软件攻击 Linux 系统
https://therecord.media/china-hackers-linux-malware-target
趋势科技发布APT 组织 Earth Estries 的活动报告
https://www.trendmicro.com/en_us/research/24/k/earth-estries.html
一般威胁事件
General Threat Incidents
黑客滥用流行的 Godot 游戏引擎感染数千台电脑进行加密货币挖矿
https://www.bleepingcomputer.com/news/security/new-godloader-malware-infects-thousands-of-gamers-using-godot-scripts/
每月 3,000 美元的 macOS 恶意软件“Banshee Stealer”源代码被泄露
https://www.securityweek.com/source-code-of-3000-a-month-macos-malware-banshee-stealer-leaked/
黑色星期五前夕,Skimmer 恶意软件瞄准 Magento 网站
https://www.darkreading.com/application-security/sneaky-skimmer-malware-magento-sites-black-friday
应急车辆灯可能会破坏汽车的自动驾驶系统
https://www.wired.com/story/emergency-vehicle-lights-can-screw-up-a-cars-automated-driving-system/
研究人员发现“Bootkitty”——第一个针对 Linux 内核的 UEFI Bootkit
https://thehackernews.com/2024/11/researchers-discover-bootkitty-first.html
漏洞事件
Vulnerability Incidents
ProjectSend 开源文件共享应用程序存在的严重漏洞正被积极利用
https://thehackernews.com/2024/11/critical-flaw-in-projectsend-under.html
VMware 修复了 Aria Operations 产品中的五个漏洞
https://securityaffairs.com/171472/security/vmware-fixed-five-vulnerabilitiesaria-operations.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):网络犯罪分子利用流行游戏引擎 Godot 传播跨平台恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论