Хронология событий снизу вверх. События сверху - самые последние.
2023-06-09 07:48 UTC
Создатели ступени 3b (skyrage), судя по всему, потеряли свой домен skyrage.de (записи сервера имен и регистратора изменились, записи dns исчезли).
2023-06-08 10:50 UTC
Текущие C&C сервера ступени 3b (skyrage) 95[.].214.27.172 и 171[.]22.30.117 больше не доступны. Следим за возможными изменениями DNS.
Время - когда это было замечено, а не когда это произошло.
2023-06-08 05:11 UTC
Prospector объявляет следующее:
Обновление от Modrinth, все файлы, загруженные за последние 10 месяцев (примерно половина наших файлов) были просканированы и ни один зараженный файл не был найден.
2023-06-08 01:12 UTC
Всё в основном снова успокоилось, вирусные сканеры начали определять jar-файлы ступеней 1 и выше как вредоносные, и на следующее утро по США запланирована встреча для обсуждения дальнейших шагов.
Встреча будет полуприватной, но записи/протоколы будут выложены после.
CurseForge сканирует все моды, но этот процесс все еще продолжается.
2023-06-07 18:51 UTC
Второй C&C сервер 107[.]189.3.101 был остановлен хостинг-провайдером.
2023-06-07 16:00 UTC
Из-за задержки в HackMD, этот документ был перенесен в репозиторий GitHub https://github.com/fractureiser-investigation/fractureiser
2023-06-07 14:40 UTC
Необфусцированная третья ступень была заменена на обфусцированную, а затем на другую полезную нагрузку.
Эта полезная нагрузка - skyrage updater - известный вредонос для Minecraft, нацеленный на серверы Spigot.
Отдавая некоторое время skyrage, он снова переключился на отдачу взломанного клиента Meteor.
(TODO эти временные рамки не совсем точны)
2023-06-07 14:20 UTC.
Анализ нового IP-адреса дал полностью деобфусцированную третью ступень, похоже, загруженную случайно. Она был заархивирована здесь: https://github.com/clrxbl/NekoClient
2023-06-07 14:19 UTC
Домен Cloudflare Pages был удален.
2023-06-07 14:05 UTC
Домен Cloudflare Pages переключился на новый IP-адрес, 107.189.3.101.
2023-06-07 08:52 UTC
На данный момент почти все утихло. У нас хорошее понимание ранних ступеней вредоносной программы, а третья ступень находится на этапе обратной разработки. Первая ступень временно неактивна.
Мы возобновим обновления следующим утром по американскому времени (или около того).
2023-06-07 08:09 UTC.
Мы все еще работаем над реверсом третьей ступени, технические подробности см. в разделе ниже.
2023-06-07 07:37 UTC
CurseForge опубликовал следующее заявление в своем канале #news в discord:
Привет всем,
Мы хотели бы рассмотреть текущую ситуацию и подчеркнуть некоторые важные моменты:
- Злоумышленник создал несколько учетных записей и загрузил на платформу проекты, содержащие вредоносное ПО.
- Отдельно был взломан пользователь, принадлежащий Luna Pixel Studios (LPS), который использовался для загрузки аналогичного вредоносного ПО.
- Мы забанили все аккаунты, имеющие к этому отношение, а также отключили аккаунт LPS. Мы на прямой связи с командой LPS, чтобы помочь им восстановить доступ.
- В настоящее время мы проверяем ВСЕ новые проекты и файлы, чтобы гарантировать вашу безопасность. Разумеется, мы приоставливаем процесс разрешения всех новых файлов, пока эта проблема не будет решена.
- Удалять ваш клиент CF не рекомендуется, так как это не решит проблему и не позволит нам доставить исправление. Мы работаем над инструментом, который поможет вам убедиться, что вы не были подвержены этому. Пока же обратитесь к информации, опубликованной в #current-issues.
- Это относится ТОЛЬКО к пользователям Minecraft.
- Для ясности CurseForge не взломан! Ни одна учетная запись администратора не была взломана.
Мы работаем над этим, чтобы убедиться, что платформа остается безопасным местом для скачивания и обмена модами. Спасибо всем авторам и пользователям, которые помогают нам уведомлениями, мы ценим ваше сотрудничество и терпение ❤️
Следите за обновлениями, и мы разрешим эту проблему.
2023-06-07 07:24 UTC.
Darkhax связался с представителями Curseforge, которые подтвердили, что затронутые файлы были загружены через пользовательский интерфейс, а не через API.
Curseforge приостановил одобрение загрузок, пока эта ситуация развивается, и удалил многие зараженные файлы.
Они также изучают IP-адреса тех, кто загрузил вредоносные файлы, чтобы выяснить, совпадают ли они с предыдущими запросами настоящих владельцев аккаунтов.
2023-06-07 7:03 UTC.
Мы считаем, что обнаружили истинную цель третьей ступени (client.jar) и пытаемся задокументировать ее здесь. Дело плохо.
Вкратце, пока мы приводим документ в порядок: client.jar ищет во всей файловой системе файлы, похожие на jar модов, и заражает их нулевой ступенью. В их числе все кэши Gradle и Maven, а также уйма вещей, которые разработчики модов, скорее всего, никогда не додумаются проверить. Потенциальный масштаб и охват этой инфекции увеличился с "пары странных модов" до потенциально бесконечного.
Мы считаем, что именно так инфекция распространялась изначально, и Curseforge, может, не был первоначальным вектором атаки.
2023-06-07 6:27 UTC
Расследование замедлилось, и большая часть команды ложится спать. unascribed открыл почтовый ящик для людей, которые могут прислать образцы или другую полезную информацию. williewillus в настоящее время работает над упорядочиванием и внесением информации, представленной D3SL, в этот документ.
2023-06-07 6:20 UTC
D3SL сообщает в неофициальном Discord, что у него есть копия полной (неусеченной) версии третьей ступени client.jar, а также подробный анализ того, что делает вредоносная программа. Они впервые заметили это несколько недель назад и провели углубленный анализ, в результате чего смогли получить полные копии всех полезных нагрузок.
2023-06-07 5:27 UTC.
Мы обнаружили потенциальный (усеченный) файл ступени 3; он сильно обфусцирован и содержит полезную нагрузку в виде нативной DLL, которая пытается украсть учетные данные из хранилища учетных данных Windows.
2023-06-07 4:57 UTC.
Обнаружены файлы, загруженные в апреле; либо даты подделываются, либо это происходит еще дольше. Многие аккаунты имеют время последней активности в 1999 году - вероятно, это причуда старых аккаунтов CurseForge, но все же примечательно.
Сотрудники Modrinth выясняют, не скомпрометированы ли какие-либо закачки. Поверхостная проверка, которую они сделали для недавно обновленных проектов, выглядела нормально.
2023-06-07 4:40 UTC
Масштаб этой угрозы, похоже, больше, чем предполагалось в начале. Вредоносные файлы появились несколько недель назад, еще 20 мая. Мы заметили это только сегодня, потому что они скомпрометировали популярный модпак.
2023-06-07 3:38 UTC
C&C сервер был отключен провайдером. Может появиться новый, если страница Cloudflare останется на месте, следим за этим.
2023-06-07 3:26 UTC
Анонимный пользователь, утверждающий, что работает на серверного хоста, прислал нам возможный jar от второй ступени.
2023-06-07 2:26 UTC
Канал #cfmalware на EsperNet создан для координации обсуждения, которое происходило в многочисленных гильдиях Discord и пространствах Matrix.
2023-06-07 0:40 UTC
Команда, создавшая этот документ, узнает о вредоносных файлах, включенных в постороннее обновление Better Minecraft.
2023-06-01 - 2023-06-04
D3SL начинает подозревать, что вредоносные файлы загружают процессор и оперативную память, и начинает расследование. Порядок действий:
- Подозрения по поводу запроса брандмауэра исполняемого файла Java приводят к его блокировке.
- Невозможность связаться со self-hosted сервисами подводит к тому, что в программе просмотра событий все tcpip-порты показываются как заблокированные.
- Netstat показывает массовое потребление портов от PID враждебного jar-файла.
- Идентификация вредоносного javaw.exe, запускающего libwebgl64.jar, подтверждает наличие вредоносного ПО.
С этого момента Tzalumen сыграл важную роль в оказании помощи в начальной обратной разработке byte[] обфусцированного кода и ручного перехвата полного набора файлов с внешних сайтов.
Полные копии всех оригинальных файлов (включая деобфускации), кроме lib.dll, переводы всех контактированных внешних сайтов, а также описание процесса заражения и нескольких враждебных возможностей были предоставлены по каналам связи в Windows Defender и Malwarebytes. Curseforge также были уведомлены. Информация о вредоносной программе не была распространена публично, чтобы не уведомить злоумышленников.