StaryDobry-hyökkäys
Pelaajat, jotka etsivät suosittuja simulaatio- ja fysiikkapohjaisia pelejä, ovat saattaneet tietämättään asentaa piilotetun kryptovaluuttakaivostyökalun Windows-järjestelmiinsä. Kyberturvallisuustutkijat tunnistivat tämän laajamittaisen operaation, koodinimeltään StaryDobry, ensimmäisen kerran joulukuun 2024 lopulla. Kampanjan kerrotaan kestäneen noin kuukauden, ja se vaaransi lukuisia koneita maailmanlaajuisesti.
Sisällysluettelo
Tehokkaat kaivoskoneet
Kampanja kohdistui ensisijaisesti sekä yksittäisiin käyttäjiin että yrityksiin useilla alueilla. Merkittäviä tartuntoja esiintyi Venäjällä, Brasiliassa, Saksassa, Valko-Venäjällä ja Kazakstanissa. Keskittymällä peliasetuksiin tehokkailla laitteistoilla hyökkääjät maksimoivat salaisten kaivostoimintojensa tehokkuuden.
Vieheinä käytetyt suositut pelit
Hyökkäys perustui uhkaavien asentajien naamiointiin tunnettujen pelien laillisiksi kopioiksi. Syöttinä käytettyjä nimikkeitä olivat BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox ja Plutocracy. Uhkatoimijat latasivat nämä troijalaiset asennusohjelmat torrent-sivustoille jo syyskuussa 2024, mikä osoitti, että toimenpide oli huolellisesti suunniteltu.
Tartunnan saaneet asentajat käynnistävät salaperäisen hyökkäysketjun
Aavistamattomille käyttäjille, jotka latasivat nämä niin kutsutut "uudelleenpakkaukset", esiteltiin tavalliselta näyttävä asennusprosessi. Asennuksen aikana piilotettu dropper-tiedosto ("unrar.dll") otettiin käyttöön ja suoritettiin taustalla, mikä aloitti tartunnan seuraavan vaiheen.
Kehittyneet evaasiotekniikat toiminnassa
Ennen jatkamista dropperi suoritti useita tarkistuksia varmistaakseen, ettei se toimi virtualisoidussa tai hiekkalaatikkoympäristössä, mikä osoitti sen kehittyneitä kiertotoimintoja. Sitten se otti yhteyttä ulkoisiin palveluihin, kuten api.myip.com, ip-api.com ja ipwho.is, kerätäkseen IP-osoitteet ja määrittääkseen käyttäjien sijainnit. Jos tämä vaihe epäonnistui, järjestelmälle määritettiin oletussijainti Kiina tai Valko-Venäjä epäselvistä syistä.
Monimutkainen monivaiheinen suoritusprosessi
Kun koneesta oli otettu sormenjälki, tiputin pursi salauksen ja suoritti toisen komponentin nimeltä MTX64.exe. Tämä suoritettava tiedosto tallensi sisällön järjestelmähakemistoon nimellä "Windows.Graphics.ThumbnailHandler.dll". Lailliseen avoimen lähdekoodin projektiin, EpubShellExtThumbnailHandler, perustuva suoritettava tiedosto käytti väärin Windows Shell Extension -toimintoa ladatakseen seuraavan hyötykuorman, "Kickstarter".
Kickstarter-komponentti puristi salatun datablobin ja kirjoitti sen levylle nimellä "Unix.Directory.IconHandler.dll" piilotettuun kansioon käyttäjän AppData-hakemistossa. Tämä uusi tiedosto sitten haki viimeisen vaiheen hyötykuorman etäpalvelimelta, joka sisälsi todellisen kryptovaluutan kaivostyön.
Stealthy Minerin käyttöönotto ja prosessien seuranta
Kaivosmiehen teloitusta seurattiin tarkasti havaitsemisen välttämiseksi. Se etsi jatkuvasti järjestelmän valvontatyökaluja, kuten Task Manager ('taskmgr.exe') ja Process Monitor ('procmon.exe'). Jos jompikumpi näistä prosesseista havaittiin, kaivostyö lopetettiin välittömästi tarkastuksen välttämiseksi.
XMRig Tweaked valikoivaan kaivostoimintaan
Operaation ytimessä oli mukautettu versio XMRig- kaivostyöstä. Se aktivoitiin vain suorittimissa, joissa on vähintään kahdeksan ydintä, mikä varmisti, että vaarantuneilla koneilla oli riittävästi prosessointitehoa tehokkaaseen louhintaan. Lisäksi sen sijaan, että turvautuisivat julkiseen kaivospooliin, hyökkääjät perustivat oman yksityisen palvelimensa ohjaamaan kaivostulot yksinomaan infrastruktuuriinsa.
XMRig hyödynsi sisäänrakennettua toimintoaan jäsentääkseen komentorivikäskyjä ja ylläpitäen samalla erillistä säiettä aktiivisten valvontatyökalujen tarkistamiseksi. Tämä jatkuva itsepuolustusmekanismi auttoi pitämään kaivostoiminnan piilossa käyttäjiltä.
Mysteeriuhka venäläisillä vihjeillä
Operaation laajuudesta ja hienostuneisuudesta huolimatta tekijöiden henkilöllisyys on edelleen tuntematon. Tutkijat löysivät kuitenkin kampanjan osiin upotettuja venäjänkielisiä merkkijonoja, jotka viittaavat siihen, että hyökkäys saattoi olla peräisin venäjänkieliseltä uhkatekijältä.
StaryDobry-kampanja korostaa riskejä, jotka liittyvät ohjelmiston lataamiseen vahvistamattomista lähteistä. Hyödyntämällä pelin asentajia syöttinä verkkorikolliset onnistuivat ottamaan käyttöön piilotetun kaivostyöntekijän säilyttäen samalla salaperäisen läsnäolon vaarantuneissa järjestelmissä. Tämä tapaus korostaa varovaisuuden tärkeyttä hankittaessa ohjelmistoja verkosta, sillä uhkatoimijat jatkavat petollisen taktiikkansa parantamista.
