StaryDobry Attack
Οι παίκτες που αναζητούν δημοφιλή παιχνίδια προσομοίωσης και φυσικής μπορεί να έχουν εγκαταστήσει εν αγνοία τους ένα κρυφό εξόρυξη κρυπτονομισμάτων στα συστήματά τους Windows. Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν για πρώτη φορά αυτή τη μεγάλης κλίμακας επιχείρηση, με την κωδική ονομασία StaryDobry, στα τέλη Δεκεμβρίου 2024. Η εκστρατεία σύμφωνα με πληροφορίες διήρκεσε για περίπου ένα μήνα, θέτοντας σε κίνδυνο πολυάριθμα μηχανήματα σε όλο τον κόσμο.
Πίνακας περιεχομένων
Μηχανήματα υψηλής απόδοσης που αξιοποιούνται για εξόρυξη
Η καμπάνια στόχευε κυρίως τόσο μεμονωμένους χρήστες όσο και επιχειρήσεις σε πολλές περιοχές, με αξιοσημείωτα ποσοστά μόλυνσης στη Ρωσία, τη Βραζιλία, τη Γερμανία, τη Λευκορωσία και το Καζακστάν. Εστιάζοντας σε ρυθμίσεις παιχνιδιών με ισχυρό υλικό, οι εισβολείς μεγιστοποίησαν την αποτελεσματικότητα των κρυφών λειτουργιών εξόρυξης.
Δημοφιλή παιχνίδια που χρησιμοποιούνται ως δέλεαρ
Η επίθεση βασίστηκε στη συγκάλυψη απειλητικών εγκαταστατών ως νόμιμων αντιγράφων γνωστών παιχνιδιών. Μεταξύ των τίτλων που χρησιμοποιήθηκαν ως δόλωμα ήταν τα BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox και Plutocracy. Οι φορείς της απειλής ανέβασαν αυτά τα τρωανοποιημένα προγράμματα εγκατάστασης σε ιστότοπους torrent ήδη από τον Σεπτέμβριο του 2024, υποδεικνύοντας ότι η επιχείρηση ήταν προσεκτικά προσχεδιασμένη.
Μολυσμένοι εγκαταστάτες ενεργοποιούν μια μυστική αλυσίδα επίθεσης
Σε ανυποψίαστους χρήστες που κατέβασαν αυτά τα λεγόμενα «repacks» παρουσιάστηκε κάτι που φαινόταν να είναι μια τυπική διαδικασία εγκατάστασης. Κατά τη διάρκεια της εγκατάστασης, ένα κρυφό αρχείο dropper ('unrar.dll') αναπτύχθηκε και εκτελέστηκε στο παρασκήνιο, ξεκινώντας το επόμενο στάδιο της μόλυνσης.
Προηγμένες τεχνικές αποφυγής σε δράση
Πριν προχωρήσει, το σταγονόμετρο πραγματοποίησε πολλαπλούς ελέγχους για να βεβαιωθεί ότι δεν εκτελείται σε εικονικό περιβάλλον ή περιβάλλον άμμου, αποδεικνύοντας τις εξελιγμένες δυνατότητές του για αποφυγή. Στη συνέχεια επικοινώνησε με εξωτερικές υπηρεσίες όπως τα api.myip.com, ip-api.com και ipwho.is για να συγκεντρώσει διευθύνσεις IP και να καθορίσει τις τοποθεσίες των χρηστών. Εάν αυτό το βήμα απέτυχε, εκχωρήθηκε στο σύστημα μια προεπιλεγμένη τοποθεσία της Κίνας ή της Λευκορωσίας για λόγους που παραμένουν ασαφείς.
Μια σύνθετη διαδικασία εκτέλεσης πολλαπλών σταδίων
Μόλις αποτυπωθεί το μηχάνημα, το σταγονόμετρο αποκρυπτογραφήθηκε και εκτέλεσε ένα άλλο στοιχείο με το όνομα "MTX64.exe". Αυτό το εκτελέσιμο αποθήκευσε τα περιεχόμενά του ως "Windows.Graphics.ThumbnailHandler.dll" σε έναν κατάλογο συστήματος. Βασισμένο σε ένα νόμιμο έργο ανοιχτού κώδικα, το EpubShellExtThumbnailHandler, το εκτελέσιμο έκανε κακή χρήση της λειτουργικότητας της επέκτασης Shell των Windows για τη φόρτωση του ακόλουθου ωφέλιμου φορτίου, «Kickstarter».
Το στοιχείο Kickstarter εξήγαγε ένα κρυπτογραφημένο blob δεδομένων και το έγραψε στο δίσκο με το όνομα "Unix.Directory.IconHandler.dll" σε έναν κρυφό φάκελο στον κατάλογο AppData του χρήστη. Αυτό το νέο αρχείο ανέκτησε στη συνέχεια το ωφέλιμο φορτίο τελικού σταδίου από έναν απομακρυσμένο διακομιστή, ο οποίος περιείχε τον πραγματικό εξόρυξη κρυπτονομισμάτων.
Το Stealthy Miner Deployment and Process Monitoring
Η εκτέλεση του ανθρακωρύχου παρακολουθήθηκε στενά για να αποφευχθεί ο εντοπισμός. Έλεγχε συνεχώς για εργαλεία παρακολούθησης συστήματος όπως το Task Manager ("taskmgr.exe") και το Process Monitor ("procmon.exe"). Εάν ανιχνευόταν οποιαδήποτε από αυτές τις διεργασίες, ο εξορύκτης τερματιζόταν αμέσως για να αποφύγει τον έλεγχο.
Το XMRig τροποποιήθηκε για επιλεκτική εξόρυξη
Στον πυρήνα της επιχείρησης ήταν μια προσαρμοσμένη έκδοση του XMRig miner. Ενεργοποιήθηκε μόνο σε CPU με τουλάχιστον οκτώ πυρήνες, διασφαλίζοντας ότι τα παραβιασμένα μηχανήματα είχαν επαρκή επεξεργαστική ισχύ για την αποτελεσματική εξόρυξη. Επιπλέον, αντί να βασίζονται σε μια δημόσια πισίνα εξόρυξης, οι εισβολείς δημιούργησαν τον δικό τους ιδιωτικό διακομιστή για να κατευθύνουν τα κέρδη εξόρυξης αποκλειστικά στην υποδομή τους.
Το XMRig αξιοποίησε την ενσωματωμένη λειτουργικότητά του για να αναλύει τις οδηγίες της γραμμής εντολών διατηρώντας παράλληλα ένα ξεχωριστό νήμα για να ελέγξει για ενεργά εργαλεία παρακολούθησης. Αυτός ο επίμονος μηχανισμός αυτοάμυνας βοήθησε να κρατήσει τη δραστηριότητα εξόρυξης κρυφή από τον χρήστη.
Μια μυστηριώδης απειλή με ρωσικές ενδείξεις
Παρά την έκταση και την πολυπλοκότητα της επιχείρησης, η ταυτότητα των δραστών παραμένει άγνωστη. Ωστόσο, οι ερευνητές ανακάλυψαν χορδές στη ρωσική γλώσσα ενσωματωμένες στα στοιχεία της εκστρατείας, υποδηλώνοντας ότι η επίθεση μπορεί να προήλθε από έναν ρωσόφωνο παράγοντα απειλής.
Η καμπάνια StaryDobry υπογραμμίζει τους κινδύνους που σχετίζονται με τη λήψη λογισμικού από μη επαληθευμένες πηγές. Αξιοποιώντας τους εγκαταστάτες παιχνιδιών ως δόλωμα, οι εγκληματίες του κυβερνοχώρου κατάφεραν να αναπτύξουν έναν κρυφό ανθρακωρύχο διατηρώντας παράλληλα μια μυστική παρουσία σε παραβιασμένα συστήματα. Αυτό το περιστατικό υπογραμμίζει τη σημασία της προσοχής κατά την απόκτηση λογισμικού μέσω Διαδικτύου, καθώς οι φορείς απειλών συνεχίζουν να βελτιώνουν τις παραπλανητικές τακτικές τους.
