هجوم ستاري دوبري
ربما قام اللاعبون الذين يبحثون عن ألعاب محاكاة شهيرة تعتمد على الفيزياء بتثبيت برنامج تعدين مخفي للعملات المشفرة على أنظمة Windows الخاصة بهم دون علمهم. حدد باحثو الأمن السيبراني هذه العملية واسعة النطاق، والتي تحمل الاسم الرمزي StaryDobry، لأول مرة في أواخر ديسمبر 2024. ويقال إن الحملة استمرت لمدة شهر تقريبًا، مما أدى إلى اختراق العديد من الأجهزة في جميع أنحاء العالم.
جدول المحتويات
استغلال الآلات عالية الأداء في التعدين
استهدفت الحملة في المقام الأول المستخدمين الأفراد والشركات في مناطق متعددة، مع معدلات إصابة ملحوظة في روسيا والبرازيل وألمانيا وبيلاروسيا وكازاخستان. ومن خلال التركيز على إعدادات الألعاب ذات الأجهزة القوية، نجح المهاجمون في تعظيم كفاءة عمليات التعدين السرية الخاصة بهم.
الألعاب الشعبية المستخدمة كإغراءات
اعتمد الهجوم على إخفاء برامج التثبيت المهددة على أنها نسخ شرعية من ألعاب معروفة. ومن بين العناوين المستخدمة كطُعم BeamNG.drive وGarry's Mod وDyson Sphere Program وUniverse Sandbox وPlutocracy. قام الجناة بتحميل برامج التثبيت الملوثة بأحصنة طروادة هذه على مواقع التورنت في وقت مبكر من سبتمبر 2024، مما يشير إلى أن العملية كانت مدبرة بعناية.
المثبتات المصابة تطلق سلسلة من الهجمات الخفية
لقد عُرضت على المستخدمين غير المطلعين الذين قاموا بتنزيل ما يسمى بـ "الحزم المعاد تعبئتها" ما بدا وكأنه عملية تثبيت قياسية. أثناء عملية الإعداد، تم نشر ملف مخفي ('unrar.dll') وتنفيذه في الخلفية، مما أدى إلى بدء المرحلة التالية من العدوى.
تقنيات التهرب المتقدمة في العمل
قبل المتابعة، أجرى البرنامج الخبيث عدة فحوصات للتأكد من أنه لا يعمل في بيئة افتراضية أو محمية، مما يوضح قدراته المتطورة في التهرب. ثم اتصل بخدمات خارجية مثل api.myip.com وip-api.com وipwho.is لجمع عناوين IP وتحديد مواقع المستخدمين. إذا فشلت هذه الخطوة، يتم تعيين موقع افتراضي للنظام في الصين أو بيلاروسيا لأسباب لا تزال غير واضحة.
عملية تنفيذ معقدة ومتعددة المراحل
بمجرد الحصول على بصمة الجهاز، فك برنامج القطارة تشفير وتنفيذ مكون آخر يسمى "MTX64.exe". وقد حفظ هذا الملف القابل للتنفيذ محتوياته باسم "Windows.Graphics.ThumbnailHandler.dll" في دليل النظام. واستنادًا إلى مشروع مفتوح المصدر شرعي، EpubShellExtThumbnailHandler، أساء الملف القابل للتنفيذ استخدام وظيفة Windows Shell Extension لتحميل الحمولة التالية، "Kickstarter".
استخرج مكون Kickstarter كتلة بيانات مشفرة وكتبها على القرص تحت اسم "Unix.Directory.IconHandler.dll" في مجلد مخفي داخل دليل AppData الخاص بالمستخدم. ثم استعاد هذا الملف الجديد الحمولة النهائية من خادم بعيد، والذي احتوى على منجم العملة المشفرة الفعلي.
نشر Stealthy Miner ومراقبة العملية
تم مراقبة تنفيذ برنامج التعدين عن كثب لتجنب الكشف عنه. فقد تم التحقق باستمرار من أدوات مراقبة النظام مثل Task Manager ('taskmgr.exe') وProcess Monitor ('procmon.exe'). وفي حالة اكتشاف أي من هذه العمليات، يتم إنهاء برنامج التعدين على الفور لتجنب التدقيق.
تم تعديل XMRig للتعدين الانتقائي
كان جوهر العملية هو نسخة مخصصة من برنامج التعدين XMRig . تم تنشيطها فقط على وحدات المعالجة المركزية التي تحتوي على ثمانية أنوية على الأقل، مما يضمن أن الأجهزة المخترقة لديها قوة معالجة كافية للتعدين بكفاءة. بالإضافة إلى ذلك، بدلاً من الاعتماد على مجموعة تعدين عامة، قام المهاجمون بإعداد خادم خاص بهم لتوجيه أرباح التعدين حصريًا إلى البنية التحتية الخاصة بهم.
استفادت XMRig من وظائفها المضمنة لتحليل تعليمات سطر الأوامر مع الحفاظ على سلسلة منفصلة للتحقق من أدوات المراقبة النشطة. ساعدت آلية الدفاع الذاتي المستمرة هذه في إبقاء نشاط التعدين مخفيًا عن المستخدم.
تهديد غامض بتلميحات روسية
وعلى الرغم من حجم العملية وتعقيدها، فإن هويات الجناة لا تزال مجهولة. ومع ذلك، اكتشف الباحثون سلاسل باللغة الروسية مدمجة في مكونات الحملة، مما يشير إلى أن الهجوم ربما نشأ من جهة تهديد ناطقة باللغة الروسية.
تسلط حملة StaryDobry الضوء على المخاطر المرتبطة بتنزيل البرامج من مصادر غير موثوقة. فمن خلال الاستفادة من مثبتات الألعاب كطُعم، تمكن مجرمو الإنترنت من نشر برنامج تعدين مخفي مع الحفاظ على وجود خفي على الأنظمة المخترقة. وتؤكد هذه الحادثة على أهمية الحذر عند الحصول على البرامج عبر الإنترنت حيث يواصل الجهات الفاعلة في مجال التهديد تحسين تكتيكاتها الخادعة.
