StaryDobry uzbrukums
Spēlētāji, kas meklē populāras simulācijas un uz fiziku balstītas spēles, iespējams, neapzināti savās Windows sistēmās ir instalējuši slēptu kriptovalūtas kalnraču. Kiberdrošības pētnieki pirmo reizi identificēja šo liela mēroga operāciju ar koda nosaukumu StaryDobry 2024. gada decembra beigās. Tiek ziņots, ka kampaņa ilga aptuveni mēnesi, apdraudot daudzas iekārtas visā pasaulē.
Satura rādītājs
Augstas veiktspējas mašīnas, ko izmanto kalnrūpniecībā
Kampaņa galvenokārt bija paredzēta gan atsevišķiem lietotājiem, gan uzņēmumiem vairākos reģionos ar ievērojamu inficēšanās līmeni Krievijā, Brazīlijā, Vācijā, Baltkrievijā un Kazahstānā. Koncentrējoties uz spēļu iestatījumiem ar jaudīgu aparatūru, uzbrucēji palielināja savu slepeno ieguves darbību efektivitāti.
Populāras spēles, ko izmanto kā lures
Uzbrukuma pamatā bija draudošo instalētāju maskēšana kā labi zināmu spēļu likumīgas kopijas. Starp nosaukumiem, kas tika izmantoti kā ēsma, bija BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox un Plutocracy. Apdraudējuma dalībnieki augšupielādēja šos trojānizētos instalētājus torrent vietnēs jau 2024. gada septembrī, norādot, ka darbība bija rūpīgi iepriekš plānota.
Inficētie instalētāji aktivizē slepenu uzbrukuma ķēdi
Nenojaušajiem lietotājiem, kuri lejupielādēja šos tā sauktos “pārpakojumus”, tika parādīts, šķiet, standarta instalēšanas process. Iestatīšanas laikā slēptais pilinātāja fails ("unrar.dll") tika izvietots un izpildīts fonā, uzsākot nākamo infekcijas posmu.
Uzlabotas nodokļu nemaksāšanas metodes darbībā
Pirms turpināt, pilinātājs veica vairākas pārbaudes, lai pārliecinātos, ka tas nedarbojas virtualizētā vai smilškastes vidē, demonstrējot tā sarežģītās izvairīšanās iespējas. Pēc tam tas sazinājās ar ārējiem pakalpojumiem, piemēram, api.myip.com, ip-api.com un ipwho.is, lai apkopotu IP adreses un noteiktu lietotāju atrašanās vietas. Ja šī darbība neizdevās, sistēmai tika piešķirta Ķīnas vai Baltkrievijas noklusējuma atrašanās vieta neskaidru iemeslu dēļ.
Sarežģīts daudzpakāpju izpildes process
Kad iekārtai tika noņemti pirkstu nospiedumi, pilinātājs atšifrēja un palaida citu komponentu ar nosaukumu “MTX64.exe”. Šī izpildāmā faila saturs tika saglabāts sistēmas direktorijā kā "Windows.Graphics.ThumbnailHandler.dll". Pamatojoties uz likumīgu atvērtā pirmkoda projektu EpubShellExtThumbnailHandler, izpildāmā programma ļaunprātīgi izmantoja Windows Shell paplašinājuma funkcionalitāti, lai ielādētu šādu lietderīgo slodzi "Kickstarter".
Kickstarter komponents izvilka šifrētu datu lāsi un ierakstīja to diskā ar nosaukumu Unix.Directory.IconHandler.dll slēptā mapē lietotāja AppData direktorijā. Pēc tam šis jaunais fails no attālā servera izguva pēdējās pakāpes lietderīgo slodzi, kurā bija faktiskais kriptovalūtas ieguvējs.
Stealthy Miner izvietošana un procesa uzraudzība
Kalnraču nāvessoda izpilde tika rūpīgi uzraudzīta, lai izvairītos no atklāšanas. Tā nepārtraukti pārbaudīja sistēmas uzraudzības rīkus, piemēram, uzdevumu pārvaldnieku (“taskmgr.exe”) un procesu monitoru (“procmon.exe”). Ja kāds no šiem procesiem tika atklāts, kalnracis nekavējoties tika pārtraukts, lai izvairītos no pārbaudes.
XMRig pielāgots selektīvai ieguvei
Operācijas pamatā bija pielāgota XMRig kalnrača versija. Tas tika aktivizēts tikai CPU ar vismaz astoņiem kodoliem, nodrošinot, ka apdraudētajām iekārtām ir pietiekama apstrādes jauda, lai tās efektīvi iegūtu. Turklāt tā vietā, lai paļautos uz publisku ieguves baseinu, uzbrucēji izveidoja savu privāto serveri, lai ieguves peļņu novirzītu tikai savai infrastruktūrai.
XMRig izmantoja savu iebūvēto funkcionalitāti, lai parsētu komandrindas instrukcijas, vienlaikus saglabājot atsevišķu pavedienu, lai pārbaudītu aktīvus uzraudzības rīkus. Šis pastāvīgais pašaizsardzības mehānisms palīdzēja lietotājam slēpt ieguves darbību.
Noslēpumaini draudi ar krievu norādēm
Neskatoties uz operācijas mērogu un sarežģītību, vainīgo identitāte joprojām nav zināma. Tomēr pētnieki atklāja kampaņas komponentos iestrādātas stīgas krievu valodā, kas liecina, ka uzbrukumu varētu būt izraisījis kāds krieviski runājošs draudu dalībnieks.
StaryDobry kampaņa izceļ riskus, kas saistīti ar programmatūras lejupielādi no nepārbaudītiem avotiem. Izmantojot spēļu instalētājus kā ēsmu, kibernoziedzniekiem izdevās izvietot slēptu kalnraču, vienlaikus saglabājot slepenu klātbūtni apdraudētajās sistēmās. Šis incidents uzsver, cik svarīgi ir ievērot piesardzību, iegādājoties programmatūru tiešsaistē, jo apdraudējuma dalībnieki turpina pilnveidot savu maldinošo taktiku.
