Phân Tích Chiến Dịch Malware Stargazers Ghost Network: Mod Minecraft Giả Mạo Đe Dọa Người Chơi

20/06/2025
3 mins read
Nội dung
Phân Tích Chiến Dịch Malware Stargazers Ghost Network: Mod Minecraft Giả Mạo
Tổng Quan Về Chiến Dịch
Nền Tảng Bị Tấn Công Và Phương Thức Phân Phối
Chuỗi Lây Nhiễm Và Chi Tiết Kỹ Thuật
Khả Năng Của Malware
Indicators of Compromise (IOCs)
Tác Động Và Quy Mô
Kết Luận

Phân Tích Chiến Dịch Malware Stargazers Ghost Network: Mod Minecraft Giả Mạo

Một chiến dịch malware đa giai đoạn tinh vi, được cho là do nhóm tác nhân đe dọa nói tiếng Nga có tên Stargazers Ghost Network thực hiện, đang nhắm mục tiêu vào người chơi Minecraft. Chiến dịch này phân phối các mod Minecraft giả mạo dưới dạng các công cụ cheat phổ biến (như Oringo và Taunahi) thông qua các kho lưu trữ trên GitHub. Hoạt động theo mô hình Distribution-as-a-Service (DaaS), nhóm sử dụng nhiều tài khoản GitHub giả mạo (“stargazer” accounts) để phát tán liên kết và tệp độc hại.

Tổng Quan Về Chiến Dịch

Chiến dịch này nhắm đến các thiết bị Windows có cài đặt Minecraft, lợi dụng sở thích của người chơi trong việc cài đặt mod từ các nguồn không xác minh. Các mod giả mạo được lưu trữ trên GitHub và chỉ hoạt động khi Minecraft đã được cài đặt, giúp tránh bị phát hiện trong môi trường sandbox không có runtime của trò chơi.

Nền Tảng Bị Tấn Công Và Phương Thức Phân Phối

  • Nền tảng bị nhắm tới: Thiết bị Windows có cài đặt Minecraft.
  • Phương thức phân phối: Mod giả mạo được lưu trữ trên các kho GitHub, được hỗ trợ bởi các tài khoản “stargazer” giả mạo.
  • Loại mod: Mod Minecraft Forge dựa trên Java, yêu cầu người dùng tải xuống và cài đặt thủ công.
  • Đặc điểm kỹ thuật: Mod ban đầu là một tệp JAR không có thuộc tính Main-Class trong manifest, khiến lệnh java -jar <filename> không thể thực thi trực tiếp.
  • Cơ chế tránh phát hiện: Mod chỉ hoạt động khi có môi trường runtime của Minecraft, giúp qua mặt các hệ thống sandbox không có trò chơi.

Chuỗi Lây Nhiễm Và Chi Tiết Kỹ Thuật

Chiến dịch malware này hoạt động qua ba giai đoạn chính với các thành phần kỹ thuật riêng biệt:

  1. Giai đoạn 1: Loader Java
    • Được đóng gói dưới dạng mod Forge với tên gói liên quan đến me.baikal.club (tham chiếu đến hồ Baikal ở Nga).
    • Chứa một class @Mod sử dụng giao diện IFMLLoadingPlugin của Forge Mod Loader (FML).
    • Áp dụng kỹ thuật chống phân tích (anti-analysis):
      • Kiểm tra sự hiện diện của phần mềm ảo hóa hoặc công cụ forensic như Wireshark, TCPView, dịch vụ VirtualBox.
      • Tự động kết thúc nếu phát hiện môi trường phân tích.
    • Truy xuất ba thuộc tính hệ thống để kiểm tra môi trường (tương đương với việc gọi các getter thuộc tính Java cụ thể).
    • Tải xuống payload mã hóa Base64 từ các URL Pastebin.
  2. Giai đoạn 2: Java Stealer
    • Tải xuống một stealer giai đoạn hai có tên MixinLoader-v2.4.jar.
  3. Giai đoạn 3: .NET Stealer
    • Triển khai một stealer dựa trên .NET với khả năng trích xuất dữ liệu mở rộng.

Khả Năng Của Malware

Malware này có khả năng đánh cắp nhiều loại dữ liệu nhạy cảm từ hệ thống nạn nhân, bao gồm:

  • Thông tin xác thực trình duyệt (browser credentials).
  • Ví tiền điện tử (cryptocurrency wallets).
  • Thông tin đăng nhập của các ứng dụng như Discord và Steam.
  • Ảnh chụp màn hình (screenshots).
  • Thông tin hệ thống (system information).

Dữ liệu bị đánh cắp được gửi ra ngoài thông qua các kênh Discord, giúp tránh các cơ chế phát hiện mạng truyền thống.

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số liên quan đến chiến dịch này, được trích xuất để hỗ trợ phát hiện và khắc phục:

  • Tên gói (Package Name):
    • me.baikal.club
  • Tên tệp (File Name):
    • MixinLoader-v2.4.jar
  • Lệnh CLI minh họa (Command-line Example):
    java -jar <filename>

    Lưu ý: Lệnh này thất bại do thiếu thuộc tính Main-Class trong manifest của tệp JAR.

  • Kỹ thuật chống phân tích (Anti-analysis Checks):
    • Phát hiện các tiến trình/dịch vụ như Wireshark, TCPView, dịch vụ VirtualBox.
  • Cơ sở hạ tầng lưu trữ payload:
    • Các URL Pastebin chứa payload được mã hóa Base64.

Tác Động Và Quy Mô

Ước tính từ tháng 3 năm 2025, đã có hơn 1.500 thiết bị bị lây nhiễm trên toàn cầu. Đối tượng chính là những người chơi Minecraft tích cực, thường cài đặt các mod cheat từ các nguồn không xác minh.

Kết Luận

Chiến dịch Stargazers Ghost Network là một ví dụ điển hình về sự tinh vi của các tác nhân đe dọa trong việc lợi dụng các nền tảng phổ biến và hành vi người dùng để phát tán malware. Các tổ chức và cá nhân cần nâng cao cảnh giác với các mod hoặc phần mềm từ nguồn không xác minh, đồng thời triển khai các biện pháp giám sát dựa trên các IOC được cung cấp để phát hiện và ngăn chặn mối đe dọa này.