StaryDobry ataka
Žaidėjai, ieškantys populiarių modeliavimo ir fizikos žaidimų, savo „Windows“ sistemose galėjo nesąmoningai įdiegti paslėptą kriptovaliutų kasyklą. Kibernetinio saugumo tyrėjai pirmą kartą nustatė šią didelio masto operaciją, kodiniu pavadinimu StaryDobry, 2024 m. gruodžio pabaigoje. Pranešama, kad kampanija truko apie mėnesį, sukeldama pavojų daugeliui įrenginių visame pasaulyje.
Turinys
Kasybai naudojamos didelio našumo mašinos
Kampanija pirmiausia buvo skirta tiek individualiems naudotojams, tiek įmonėms keliuose regionuose, o užsikrėtimo rodikliai pastebimi Rusijoje, Brazilijoje, Vokietijoje, Baltarusijoje ir Kazachstane. Sutelkdami dėmesį į žaidimų sąrankas su galinga aparatūra, užpuolikai padidino savo slaptų kasybos operacijų efektyvumą.
Populiarūs žaidimai, naudojami kaip masalai
Išpuolis buvo pagrįstas grasinančių montuotojų užmaskavimu kaip teisėtomis gerai žinomų žaidimų kopijomis. Tarp pavadinimų, naudojamų kaip masalas, buvo „BeamNG.drive“, „Garry's Mod“, „Dyson Sphere Program“, „Universe Sandbox“ ir „Plutocracy“. Grėsmių veikėjai šiuos trojaniškus montuotojus įkėlė į torrent svetaines dar 2024 m. rugsėjo mėn., nurodydami, kad operacija buvo kruopščiai apgalvota.
Užkrėsti montuotojai suaktyvina slaptą atakų grandinę
Nieko neįtariantiems vartotojams, kurie atsisiuntė šiuos vadinamuosius „perpakavimus“, buvo pateiktas standartinis diegimo procesas. Atliekant sąranką paslėptas lašintuvo failas („unrar.dll“) buvo įdiegtas ir paleistas fone, inicijuojant kitą infekcijos etapą.
Pažangūs vengimo būdai
Prieš tęsdamas, lašintuvas atliko kelis patikrinimus, siekdamas įsitikinti, kad jis neveikia virtualizuotoje ar smėlio dėžės aplinkoje, parodydamas savo sudėtingas vengimo galimybes. Tada ji susisiekė su išorinėmis tarnybomis, tokiomis kaip api.myip.com, ip-api.com ir ipwho.is, kad surinktų IP adresus ir nustatytų vartotojų vietas. Jei šis veiksmas nepavyko, sistemai buvo priskirta numatytoji Kinijos arba Baltarusijos vieta dėl neaiškių priežasčių.
Sudėtingas kelių etapų vykdymo procesas
Kai aparatas buvo paimtas pirštų atspaudais, lašintuvas iššifravo ir paleido kitą komponentą, pavadintą „MTX64.exe“. Šis vykdomasis failas sistemos kataloge išsaugojo savo turinį kaip „Windows.Graphics.ThumbnailHandler.dll“. Remiantis teisėtu atvirojo kodo projektu „EpubShellExtThumbnailHandler“, vykdomasis failas netinkamai panaudojo „Windows Shell Extension“ funkciją, kad įkeltų šią naudingąją apkrovą „Kickstarter“.
„Kickstarter“ komponentas ištraukė užšifruotą duomenų bloką ir įrašė jį į diską pavadinimu „Unix.Directory.IconHandler.dll“ į paslėptą aplanką vartotojo AppData kataloge. Tada šis naujas failas iš nuotolinio serverio gavo paskutinės pakopos naudingąją apkrovą, kurioje buvo tikrasis kriptovaliutų kasėjas.
„Stealthy Miner“ diegimas ir procesų stebėjimas
Šachtininko egzekucija buvo atidžiai stebima, kad būtų išvengta aptikimo. Jis nuolat tikrino, ar nėra sistemos stebėjimo įrankių, tokių kaip Task Manager ("taskmgr.exe") ir Process Monitor ("procmon.exe"). Jei buvo aptiktas kuris nors iš šių procesų, kalnakasys buvo nedelsiant nutrauktas, kad būtų išvengta patikrinimo.
XMRig pritaikytas selektyviajai kasybai
Operacijos esmė buvo pritaikyta XMRig miner versija. Jis suaktyvinamas tik CPU, turinčiuose bent aštuonis branduolius, užtikrinant, kad pažeisti įrenginiai turėtų pakankamai apdorojimo galios, kad būtų galima efektyviai kasti. Be to, užuot pasikliavę viešuoju kasybos baseinu, užpuolikai sukūrė savo privatų serverį, kad kasybos pelną nukreiptų tik į savo infrastruktūrą.
XMRig panaudojo savo integruotą funkciją, kad išanalizuoti komandų eilutės instrukcijas, kartu išlaikydama atskirą giją, kad patikrintų, ar nėra aktyvių stebėjimo įrankių. Šis nuolatinis savigynos mechanizmas padėjo kasybos veiklą paslėpti nuo vartotojo.
Paslaptinga grėsmė su rusų įkalčiais
Nepaisant operacijos masto ir sudėtingumo, nusikaltėlių tapatybės lieka nežinomos. Tačiau mokslininkai aptiko rusakalbių stygų, įterptų kampanijos komponentuose, o tai rodo, kad ataką galėjo kilti iš rusakalbio grėsmės veikėjo.
„StaryDobry“ kampanijoje pabrėžiama rizika, susijusi su programinės įrangos atsisiuntimu iš nepatvirtintų šaltinių. Naudodami žaidimų diegimo programas kaip masalą, kibernetiniai nusikaltėliai sugebėjo panaudoti paslėptą kasyklą, tuo pačiu išlaikant slaptą buvimą pažeistose sistemose. Šis incidentas pabrėžia atsargumo svarbą įsigyjant programinę įrangą internetu, nes grėsmės subjektai ir toliau tobulina savo apgaulingą taktiką.
