มัลแวร์ GodLoader

Godot Engine โอเพ่นซอร์สยอดนิยม ซึ่งเป็นเครื่องมือที่ใช้กันอย่างแพร่หลายในการพัฒนาเกม 2D และ 3D ได้กลายเป็นหัวใจสำคัญของภัยคุกคามทางไซเบอร์รูปแบบใหม่ที่เรียกว่าแคมเปญ GodLoader ตั้งแต่เดือนมิถุนายน 2024 เป็นอย่างน้อย แคมเปญคุกคามนี้ได้ทำลายระบบไปแล้วกว่า 17,000 ระบบโดยใช้ประโยชน์จากความสามารถในการเขียนสคริปต์ของแพลตฟอร์มเพื่อรันโค้ดที่เป็นอันตราย

เครื่องมือที่เชื่อถือได้กลายเป็นเวกเตอร์ภัยคุกคาม

ความสามารถรอบด้านของ Godot Engine ซึ่งรองรับการพัฒนาบน Windows, macOS, Linux, Android, iOS และคอนโซลเกมสำคัญๆ ทำให้เป็นเครื่องมือที่น่าสนใจสำหรับอาชญากรไซเบอร์ โดยอาศัยความยืดหยุ่นของ Godot ผู้โจมตีสามารถฝังโค้ด GDScript ที่เสียหายลงในไฟล์ปฏิบัติการที่กำหนดเองเพื่อเปิดใช้งานมัลแวร์ โดยหลีกเลี่ยงกลไกการตรวจจับแอนตี้มัลแวร์เกือบทั้งหมด แคมเปญนี้เน้นย้ำว่าเครื่องมือโอเพนซอร์สที่เชื่อถือได้อาจใช้เป็นอาวุธโจมตีผู้ใช้ได้อย่างไร

สำหรับผู้คนจำนวน 1.2 ล้านคนที่โต้ตอบกับเกมที่สร้างขึ้นโดยใช้ Godot ผลกระทบนั้นขยายออกไปไกลเกินกว่าความปลอดภัยของอุปกรณ์ส่วนบุคคล ไปจนถึงอันตรายที่อาจเกิดขึ้นต่อระบบนิเวศเกมโดยรวม ซึ่งเน้นย้ำถึงความเร่งด่วนที่นักพัฒนาและอุตสาหกรรมจะต้องนำมาตรการรักษาความปลอดภัยทางไซเบอร์เชิงรุกมาใช้กับแพลตฟอร์มต่างๆ

GodLoader ทำงานอย่างไร: กลยุทธ์การจัดจำหน่ายแบบหลายแง่มุม

สิ่งที่ทำให้แคมเปญนี้แตกต่างคือการใช้ GitHub เป็นช่องทางการแจกจ่ายข้อมูลอย่างซับซ้อน ผู้โจมตีใช้เครือข่าย Stargazers Ghost ซึ่งประกอบด้วยคลังข้อมูล GitHub ประมาณ 200 แห่งและบัญชีปลอมมากกว่า 225 บัญชี บัญชีเหล่านี้ "ติดดาว" คลังข้อมูลปลอม ทำให้ดูเหมือนเป็นของจริงในสายตาผู้ใช้ที่ไม่สงสัย

แคมเปญนี้ดำเนินไปเป็น 4 ระลอกที่แตกต่างกัน ได้แก่ วันที่ 12 กันยายน 14 กันยายน 29 กันยายน และ 3 ตุลาคม 2024 โดยกำหนดเป้าหมายไปที่นักพัฒนา เกมเมอร์ และผู้ใช้ทั่วไป ในระหว่างการโจมตีแต่ละครั้ง ไฟล์ปฏิบัติการของ Godot Engine (ไฟล์ .PCK) จะถูกนำไปใช้เพื่อติดตั้งมัลแวร์ GodLoader จากนั้นตัวโหลดนี้จะดึงข้อมูลเพย์โหลดสุดท้าย เช่น RedLine Stealer และโปรแกรมขุดสกุลเงินดิจิทัล XMRig จากที่เก็บ Bitbucket

กลยุทธ์การหลบเลี่ยงขั้นสูง: การตรวจจับการหลบเลี่ยง

ความสำเร็จของ GodLoader มาจากเทคนิคการหลบเลี่ยงขั้นสูง โดยสามารถข้ามสภาพแวดล้อมเสมือนจริงและการวิเคราะห์แซนด์บ็อกซ์ ทำให้การตรวจจับในสภาพแวดล้อมความปลอดภัยที่ควบคุมไว้หยุดทำงานได้อย่างมีประสิทธิภาพ นอกจากนี้ มัลแวร์ยังควบคุม Microsoft Defender Antivirus โดยเพิ่มไดรฟ์ C:\ ทั้งหมดลงในรายการยกเว้น ทำให้มั่นใจได้ว่ากิจกรรมต่างๆ ของมัลแวร์จะไม่ถูกตรวจพบในระบบที่ติดเชื้อ

แม้ว่าแคมเปญปัจจุบันจะกำหนดเป้าหมายไปที่อุปกรณ์ Windows แต่บรรดานักวิจัยเตือนว่าแคมเปญดังกล่าวสามารถปรับใช้กับระบบ macOS และ Linux ได้อย่างง่ายดาย สถาปัตยกรรมที่ไม่ขึ้นกับแพลตฟอร์มของ Godot ช่วยให้ผู้โจมตีสามารถพัฒนาเพย์โหลดสำหรับระบบปฏิบัติการหลายระบบได้ ทำให้แคมเปญนี้ขยายขอบเขตและผลกระทบได้อย่างมาก

ศักยภาพในการใช้ประโยชน์ที่มากขึ้น

ผู้โจมตีส่วนใหญ่ใช้ไฟล์ปฏิบัติการ Godot ที่สร้างขึ้นเองเพื่อแพร่กระจายมัลแวร์ อย่างไรก็ตาม นักวิจัยเตือนถึงภัยคุกคามที่ร้ายแรงกว่านั้น: การดัดแปลงเกมที่ Godot สร้างจริง อาชญากรไซเบอร์สามารถดัดแปลงไฟล์เกมจริงเพื่อส่งมอบเพย์โหลดที่เป็นอันตรายได้โดยการได้รับคีย์การเข้ารหัสแบบสมมาตรที่ใช้ในการแยกไฟล์ PCK

การเปลี่ยนมาใช้การเข้ารหัสด้วยคีย์แบบไม่สมมาตร ซึ่งใช้คู่คีย์สาธารณะและคีย์ส่วนตัวในการเข้ารหัสและถอดรหัส อาจช่วยลดความเสี่ยงดังกล่าวได้ แนวทางนี้จะทำให้ผู้โจมตีเข้าถึงซอฟต์แวร์ที่ถูกกฎหมายได้ยากขึ้นอย่างมาก

การตอบสนองของทีมรักษาความปลอดภัย Godot

จากผลการค้นพบเหล่านี้ ทีมรักษาความปลอดภัยของ Godot ได้เน้นย้ำถึงความสำคัญของการดาวน์โหลดไฟล์ปฏิบัติการจากแหล่งที่เชื่อถือได้เท่านั้น พวกเขาแนะนำให้ผู้ใช้ตรวจสอบให้แน่ใจว่าไฟล์ได้รับการลงนามโดยองค์กรที่มีชื่อเสียง และหลีกเลี่ยงการใช้ซอฟต์แวร์ที่ถอดรหัสหรือไม่ผ่านการตรวจสอบ แม้ว่าภาษาโปรแกรมใดๆ ก็สามารถใช้สร้างซอฟต์แวร์ที่เป็นอันตรายได้ แต่ความสามารถในการเขียนสคริปต์ของ Godot นั้นไม่เสี่ยงต่อการถูกละเมิดมากกว่าหรือน้อยกว่าแพลตฟอร์มที่คล้ายกัน เช่น Python หรือ Ruby

นัยยะที่กว้างขึ้น: ความไว้วางใจและการเฝ้าระวัง

แคมเปญ GodLoader เป็นตัวอย่างว่าผู้โจมตีใช้ประโยชน์จากแพลตฟอร์มที่ถูกกฎหมายอย่างไรเพื่อหลบเลี่ยงการควบคุมความปลอดภัยและแจกจ่ายซอฟต์แวร์ที่คุกคาม ด้วยสถาปัตยกรรมของ Godot ที่ทำให้สามารถส่งมอบเพย์โหลดที่ไม่ขึ้นอยู่กับแพลตฟอร์ม ผู้ก่ออาชญากรรมทางไซเบอร์จึงสามารถกำหนดเป้าหมายอุปกรณ์ต่างๆ ในระบบปฏิบัติการต่างๆ ได้อย่างมีประสิทธิภาพ เช่น Windows, Linux และ macOS

แคมเปญนี้ใช้เครือข่ายการจัดจำหน่ายที่กำหนดเป้าหมายอย่างชัดเจนและกลไกการจัดส่งที่ซ่อนเร้น ส่งผลให้เกิดการติดเชื้อในวงกว้าง ทำให้กลายเป็นเครื่องมือที่น่าเกรงขามในคลังอาวุธของผู้โจมตี สถานการณ์นี้เป็นการเตือนสติผู้ใช้ให้ใช้ความระมัดระวังและดาวน์โหลดซอฟต์แวร์จากแหล่งที่ได้รับการยืนยันเท่านั้น

การเรียกร้องให้มีการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งขึ้น

ในขณะที่แคมเปญ GodLoader ยังคงดำเนินต่อไป แคมเปญนี้ถือเป็นการเตือนสติให้กับอุตสาหกรรมการพัฒนาซอฟต์แวร์และเกม มาตรการรักษาความปลอดภัยที่แข็งแกร่ง เครื่องมือตรวจจับภัยคุกคามข้ามแพลตฟอร์ม และความก้าวหน้าด้านการเข้ารหัสถือเป็นสิ่งสำคัญในการบรรเทาความเสี่ยงดังกล่าว การให้ความสำคัญกับการรักษาความปลอดภัยทางไซเบอร์ในทุกขั้นตอน ตั้งแต่การพัฒนาไปจนถึงการใช้งาน ทำให้อุตสาหกรรมสามารถลดโอกาสที่ภัยคุกคามที่คล้ายคลึงกันจะบั่นทอนความไว้วางใจและความปลอดภัยของผู้ใช้ได้