Serangan StaryDobry
Pemain yang mencari simulasi popular dan permainan berasaskan fizik mungkin secara tidak sedar telah memasang pelombong mata wang kripto tersembunyi pada sistem Windows mereka. Penyelidik keselamatan siber mula mengenal pasti operasi berskala besar ini, diberi nama kod StaryDobry, pada akhir Disember 2024. Kempen itu dilaporkan berlangsung selama kira-kira sebulan, menjejaskan banyak mesin di seluruh dunia.
Isi kandungan
Mesin Berprestasi Tinggi Dieksploitasi untuk Perlombongan
Kempen ini menyasarkan kedua-dua pengguna individu dan perniagaan merentas berbilang wilayah, dengan kadar jangkitan yang ketara di Rusia, Brazil, Jerman, Belarus dan Kazakhstan. Dengan memfokuskan pada persediaan permainan dengan perkakasan berkuasa, penyerang memaksimumkan kecekapan operasi perlombongan rahsia mereka.
Permainan Popular Digunakan Sebagai Gewang
Serangan itu bergantung pada penyamaran pemasang yang mengancam sebagai salinan sah permainan terkenal. Antara tajuk yang digunakan sebagai umpan ialah BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox dan Plutocracy. Pelakon ancaman memuat naik pemasang yang ditrojan ini ke tapak torrent seawal September 2024, menunjukkan bahawa operasi itu telah direncanakan dengan teliti.
Pemasang yang Dijangkiti Mencetuskan Rantaian Serangan Senyap
Pengguna yang tidak mengesyaki yang memuat turun apa yang dipanggil 'pembungkusan semula' ini telah dibentangkan dengan apa yang kelihatan seperti proses pemasangan standard. Semasa persediaan, fail penitis tersembunyi ('unrar.dll') telah digunakan dan dilaksanakan di latar belakang, memulakan peringkat seterusnya jangkitan.
Teknik Pengelakan Lanjutan dalam Tindakan
Sebelum meneruskan, penitis melakukan beberapa semakan untuk memastikan ia tidak berjalan dalam persekitaran maya atau kotak pasir, menunjukkan keupayaan pengelakan yang canggih. Ia kemudian menghubungi perkhidmatan luaran seperti api.myip.com, ip-api.com dan ipwho.is untuk mengumpulkan alamat IP dan menentukan lokasi pengguna. Jika langkah ini gagal, sistem telah diberikan lokasi lalai China atau Belarus atas sebab yang masih tidak jelas.
Proses Pelaksanaan Pelbagai Peringkat yang Kompleks
Setelah mesin dicap jari, penitis menyahsulit dan melaksanakan komponen lain bernama 'MTX64.exe.' Boleh laku ini menyimpan kandungannya sebagai 'Windows.Graphics.ThumbnailHandler.dll' dalam direktori sistem. Berdasarkan projek sumber terbuka yang sah, EpubShellExtThumbnailHandler, kefungsian Windows Shell Extension boleh laksana yang disalahgunakan untuk memuatkan muatan berikut, 'Kickstarter.'
Komponen Kickstarter mengekstrak gumpalan data yang disulitkan dan menulisnya pada cakera di bawah nama 'Unix.Directory.IconHandler.dll' dalam folder tersembunyi dalam direktori AppData pengguna. Fail baharu ini kemudiannya mendapatkan semula muatan peringkat akhir daripada pelayan jauh, yang mengandungi pelombong mata wang kripto sebenar.
The Stealthy Miner Deployment and Process Monitoring
Perlaksanaan pelombong dipantau rapi bagi mengelak dikesan. Ia sentiasa menyemak alat pemantauan sistem seperti Pengurus Tugas ('taskmgr.exe') dan Pemantau Proses ('procmon.exe'). Jika salah satu daripada proses ini dikesan, pelombong telah ditamatkan serta-merta untuk mengelakkan penelitian.
XMRig Diubahsuai untuk Perlombongan Terpilih
Pada teras operasi adalah versi tersuai bagi pelombong XMRig . Ia hanya diaktifkan pada CPU dengan sekurang-kurangnya lapan teras, memastikan mesin yang terjejas mempunyai kuasa pemprosesan yang mencukupi untuk melombong dengan cekap. Selain itu, daripada bergantung pada kumpulan perlombongan awam, penyerang menyediakan pelayan peribadi mereka sendiri untuk mengarahkan keuntungan perlombongan secara eksklusif kepada infrastruktur mereka.
XMRig memanfaatkan fungsi terbina dalamnya untuk menghuraikan arahan baris arahan sambil mengekalkan urutan berasingan untuk menyemak alat pemantauan aktif. Mekanisme pertahanan diri yang berterusan ini membantu menyembunyikan aktiviti perlombongan daripada pengguna.
Ancaman Misteri dengan Petunjuk Rusia
Walaupun skala dan kecanggihan operasi, identiti pelaku masih tidak diketahui. Walau bagaimanapun, penyelidik menemui rentetan bahasa Rusia yang tertanam dalam komponen kempen, menunjukkan bahawa serangan itu mungkin berasal daripada pelakon ancaman berbahasa Rusia.
Kempen StaryDobry menyerlahkan risiko yang berkaitan dengan memuat turun perisian daripada sumber yang tidak disahkan. Dengan memanfaatkan pemasang permainan sebagai umpan, penjenayah siber berjaya menggunakan pelombong tersembunyi sambil mengekalkan kehadiran tersembunyi pada sistem yang terjejas. Insiden ini menekankan kepentingan berhati-hati apabila memperoleh perisian dalam talian kerana pelaku ancaman terus memperhalusi taktik menipu mereka.
