स्टारीडोब्री आक्रमण

लोकप्रिय सिमुलेशन र भौतिक विज्ञानमा आधारित खेलहरू खोज्ने खेलाडीहरूले अनजानमा आफ्नो विन्डोज प्रणालीहरूमा लुकेको क्रिप्टोकरेन्सी माइनर स्थापना गरेको हुन सक्छ। साइबर सुरक्षा अनुसन्धानकर्ताहरूले पहिलो पटक डिसेम्बर २०२४ को अन्त्यमा StaryDobry कोडनेम गरिएको यो ठूलो स्तरको अपरेशन पहिचान गरे। यो अभियान लगभग एक महिनासम्म चलेको बताइएको छ, जसले गर्दा विश्वभरका धेरै मेसिनहरू प्रभावित भएका थिए।

खानीको लागि प्रयोग गरिएका उच्च-प्रदर्शन मेसिनहरू

अभियानले मुख्यतया धेरै क्षेत्रहरूमा व्यक्तिगत प्रयोगकर्ताहरू र व्यवसायहरू दुवैलाई लक्षित गर्‍यो, जसमा रूस, ब्राजिल, जर्मनी, बेलारुस र काजाकिस्तानमा उल्लेखनीय संक्रमण दरहरू थिए। शक्तिशाली हार्डवेयरको साथ गेमिङ सेटअपहरूमा ध्यान केन्द्रित गरेर, आक्रमणकारीहरूले आफ्नो गोप्य खानी सञ्चालनको दक्षतालाई अधिकतम बनाए।

लोरको रूपमा प्रयोग हुने लोकप्रिय खेलहरू

यो आक्रमण धम्की दिने स्थापनाकर्ताहरूलाई प्रसिद्ध खेलहरूको वैध प्रतिलिपिको रूपमा भेषमा आधारित थियो। प्रलोभनको रूपमा प्रयोग गरिएका शीर्षकहरू मध्ये BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox र Plutocracy थिए। धम्की दिने कलाकारहरूले सेप्टेम्बर २०२४ को सुरुमै यी ट्रोजनाइज्ड स्थापनाकर्ताहरूलाई टोरेन्ट साइटहरूमा अपलोड गरे, जसले अपरेशन सावधानीपूर्वक पूर्वनियोजित भएको संकेत गर्दछ।

संक्रमित स्थापनाकर्ताहरूले एक गोप्य आक्रमण श्रृंखला ट्रिगर गर्छन्

यी तथाकथित 'रिप्याकहरू' डाउनलोड गर्ने शंका नगर्ने प्रयोगकर्ताहरूलाई मानक स्थापना प्रक्रिया जस्तो देखिन्थ्यो। सेटअपको क्रममा, लुकेको ड्रपर फाइल ('unrar.dll') लाई पृष्ठभूमिमा तैनाथ र कार्यान्वयन गरिएको थियो, जसले संक्रमणको अर्को चरण सुरु गर्‍यो।

कार्यमा उन्नत चोरी प्रविधिहरू

अगाडि बढ्नु अघि, ड्रपरले भर्चुअलाइज्ड वा स्यान्डबक्स वातावरणमा चलिरहेको छैन भनी सुनिश्चित गर्न धेरै जाँचहरू गर्‍यो, जसले यसको परिष्कृत चोरी क्षमताहरू प्रदर्शन गर्‍यो। त्यसपछि यसले IP ठेगानाहरू सङ्कलन गर्न र प्रयोगकर्ता स्थानहरू निर्धारण गर्न api.myip.com, ip-api.com, र ipwho.is जस्ता बाह्य सेवाहरूलाई सम्पर्क गर्‍यो। यदि यो चरण असफल भयो भने, प्रणालीलाई अस्पष्ट रहेका कारणहरूले गर्दा चीन वा बेलारुसको पूर्वनिर्धारित स्थान तोकिएको थियो।

एक जटिल बहु-चरणीय कार्यान्वयन प्रक्रिया

मेसिनको फिंगरप्रिन्ट गरिसकेपछि, ड्रपरले 'MTX64.exe' नामक अर्को कम्पोनेन्ट डिक्रिप्ट गरी कार्यान्वयन गर्‍यो। यो कार्यान्वयनयोग्यले यसको सामग्रीलाई प्रणाली निर्देशिकामा 'Windows.Graphics.ThumbnailHandler.dll' को रूपमा बचत गर्‍यो। एक वैध खुला-स्रोत परियोजना, EpubShellExtThumbnailHandler मा आधारित, कार्यान्वयनयोग्यले निम्न पेलोड, 'Kickstarter' लोड गर्न Windows Shell Extension कार्यक्षमताको दुरुपयोग गर्‍यो।

Kickstarter कम्पोनेन्टले एउटा इन्क्रिप्टेड डाटा ब्लब निकाल्यो र प्रयोगकर्ताको AppData डाइरेक्टरी भित्र लुकेको फोल्डरमा 'Unix.Directory.IconHandler.dll' नामले डिस्कमा लेख्यो। त्यसपछि यो नयाँ फाइलले रिमोट सर्भरबाट अन्तिम-चरणको पेलोड पुन: प्राप्त गर्‍यो, जसमा वास्तविक क्रिप्टोकरेन्सी माइनर थियो।

स्टेल्थी माइनर डिप्लोयमेन्ट र प्रक्रिया अनुगमन

पत्ता नलाग्न खानी कामदारको कार्यान्वयनलाई नजिकबाट निगरानी गरिएको थियो। यसले टास्क म्यानेजर ('taskmgr.exe') र प्रोसेस मनिटर ('procmon.exe') जस्ता प्रणाली अनुगमन उपकरणहरूको लागि निरन्तर जाँच गर्‍यो। यदि यी मध्ये कुनै पनि प्रक्रिया पत्ता लाग्यो भने, छानबिनबाट बच्न खानी कामदारलाई तुरुन्तै समाप्त गरियो।

चयनात्मक खानीको लागि XMRig ट्वीक गरियो

अपरेशनको मूलमा XMRig माइनरको अनुकूलित संस्करण थियो। यो कम्तिमा आठ कोर भएका CPU हरूमा मात्र सक्रिय भयो, जसले गर्दा सम्झौता गरिएका मेसिनहरूमा कुशलतापूर्वक खानी गर्न पर्याप्त प्रशोधन शक्ति छ भनी सुनिश्चित भयो। थप रूपमा, सार्वजनिक खानी पूलमा भर पर्नुको सट्टा, आक्रमणकारीहरूले खानी नाफालाई विशेष रूपमा आफ्नो पूर्वाधारमा निर्देशित गर्न आफ्नै निजी सर्भर सेटअप गरे।

XMRig ले सक्रिय निगरानी उपकरणहरू जाँच गर्न छुट्टै थ्रेड कायम राख्दै कमाण्ड-लाइन निर्देशनहरू पार्स गर्न यसको निर्मित कार्यक्षमताको लाभ उठायो। यो निरन्तर आत्म-रक्षा संयन्त्रले प्रयोगकर्ताबाट खानी गतिविधि लुकाउन मद्दत गर्‍यो।

रूसी सुरागहरू सहितको रहस्यमय खतरा

अपरेशनको स्केल र परिष्कृतताको बावजुद, अपराधीहरूको पहिचान अज्ञात छ। यद्यपि, अनुसन्धानकर्ताहरूले अभियानका घटकहरू भित्र सम्मिलित रूसी भाषाका तारहरू पत्ता लगाए, जसले सुझाव दिन्छ कि आक्रमण रूसी भाषा बोल्ने धम्की अभिनेताबाट उत्पन्न भएको हुन सक्छ।

StaryDobry अभियानले अप्रमाणित स्रोतहरूबाट सफ्टवेयर डाउनलोड गर्दा हुने जोखिमहरूलाई प्रकाश पार्छ। खेल स्थापनाकर्ताहरूलाई चाराको रूपमा प्रयोग गरेर, साइबर अपराधीहरूले सम्झौता गरिएका प्रणालीहरूमा गोप्य उपस्थिति कायम राख्दै लुकेको खानी प्रयोग गर्न सफल भए। यो घटनाले अनलाइन सफ्टवेयर प्राप्त गर्दा सावधानीको महत्त्वलाई जोड दिन्छ किनकि खतरा अभिनेताहरूले आफ्नो भ्रामक रणनीतिहरूलाई परिष्कृत गर्न जारी राख्छन्।