Napad StaryDobry
Igrači koji traže popularne igre temeljene na simulaciji i fizici možda su nesvjesno instalirali skriveni rudar kriptovalute na svoje Windows sustave. Istraživači kibernetičke sigurnosti prvi su put identificirali ovu operaciju velikih razmjera, kodnog naziva StaryDobry, krajem prosinca 2024. Kampanja je navodno trajala oko mjesec dana, ugrožavajući brojne strojeve diljem svijeta.
Sadržaj
Strojevi visokih performansi iskorišteni za rudarenje
Kampanja je prvenstveno bila usmjerena na pojedinačne korisnike i tvrtke u više regija, sa značajnim stopama zaraze u Rusiji, Brazilu, Njemačkoj, Bjelorusiji i Kazahstanu. Usredotočujući se na postavke igranja s moćnim hardverom, napadači su maksimalno povećali učinkovitost svojih operacija tajnog rudarenja.
Popularne igre koje se koriste kao mamci
Napad se oslanjao na maskiranje prijetećih instalatera u legitimne kopije dobro poznatih igara. Među naslovima koji su korišteni kao mamac bili su BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox i Plutocracy. Akteri prijetnji učitali su ove trojanizirane instalatere na torrent stranice još u rujnu 2024., što ukazuje da je operacija bila pažljivo smišljena.
Zaraženi instalateri pokreću skriveni lanac napada
Ništa ne sumnjajući korisnici koji su preuzeli te takozvane 'repackove' dobili su nešto što je izgledalo kao standardni postupak instalacije. Tijekom postavljanja, skrivena dropper datoteka ('unrar.dll') je postavljena i izvršena u pozadini, započinjući sljedeću fazu infekcije.
Napredne tehnike izbjegavanja na djelu
Prije nego što je nastavio, dropper je izvršio višestruke provjere kako bi se uvjerio da ne radi u virtualiziranom ili sandbox okruženju, demonstrirajući svoje sofisticirane mogućnosti izbjegavanja. Zatim je kontaktirao vanjske servise kao što su api.myip.com, ip-api.com i ipwho.is kako bi prikupio IP adrese i odredio lokacije korisnika. Ako ovaj korak nije uspio, sustavu je dodijeljena zadana lokacija Kina ili Bjelorusija iz razloga koji ostaju nejasni.
Složeni višefazni postupak izvršenja
Nakon što je stroju uzet otisak prsta, dropper je dekriptirao i izvršio drugu komponentu pod nazivom 'MTX64.exe.' Ova je izvršna datoteka spremila svoj sadržaj kao 'Windows.Graphics.ThumbnailHandler.dll' u sistemski direktorij. Na temelju legitimnog projekta otvorenog koda, EpubShellExtThumbnailHandler, izvršna je datoteka zloupotrijebila funkcionalnost Windows Shell Extension za učitavanje sljedećeg sadržaja, 'Kickstarter'.
Komponenta Kickstarter izdvojila je kriptirani podatkovni blok i zapisala ga na disk pod imenom 'Unix.Directory.IconHandler.dll' u skrivenoj mapi unutar korisničkog direktorija AppData. Ova nova datoteka zatim je dohvatila korisni teret završne faze s udaljenog poslužitelja, koji je sadržavao stvarni rudar kriptovalute.
Pokretanje prikrivenog rudara i praćenje procesa
Minerovo pogubljenje pomno je praćeno kako bi se izbjeglo otkrivanje. Kontinuirano provjerava alate za nadzor sustava kao što su Task Manager ('taskmgr.exe') i Process Monitor ('procmon.exe'). Ako je bilo koji od ovih procesa otkriven, rudar je odmah prekinut kako bi izbjegao nadzor.
XMRig prilagođen za selektivno rudarenje
Srž operacije bila je prilagođena verzija XMRig rudara. Aktivirao se samo na procesorima s najmanje osam jezgri, osiguravajući da kompromitirani strojevi imaju dovoljnu procesorsku snagu za učinkovito rudarenje. Osim toga, umjesto da se oslanjaju na javni bazen za rudarenje, napadači su postavili vlastiti privatni poslužitelj kako bi profit od rudarenja usmjeravali isključivo na svoju infrastrukturu.
XMRig je iskoristio svoju ugrađenu funkcionalnost za analiziranje uputa naredbenog retka dok je održavao zasebnu nit za provjeru aktivnih alata za praćenje. Ovaj uporan mehanizam samoobrane pomogao je zadržati aktivnost rudarenja skrivenom od korisnika.
Tajanstvena prijetnja s ruskim tragovima
Unatoč razmjerima i sofisticiranosti operacije, identitet počinitelja ostaje nepoznat. Međutim, istraživači su otkrili nizove na ruskom jeziku ugrađene u komponente kampanje, što sugerira da je napad možda potekao od aktera prijetnje koji govori ruski.
Kampanja StaryDobry naglašava rizike povezane s preuzimanjem softvera iz neprovjerenih izvora. Iskoristivši programe za instalaciju igrica kao mamac, kibernetički kriminalci uspjeli su implementirati skriveni rudar dok su istovremeno održavali tajnu prisutnost na ugroženim sustavima. Ovaj incident naglašava važnost opreza pri nabavi softvera na mreži jer akteri prijetnji nastavljaju usavršavati svoje prijevarne taktike.
