Atak StaryDobry
Gracze szukający popularnych gier symulacyjnych i opartych na fizyce mogli nieświadomie zainstalować ukrytego kopacza kryptowalut na swoich systemach Windows. Badacze ds. cyberbezpieczeństwa po raz pierwszy zidentyfikowali tę operację na dużą skalę o nazwie kodowej StaryDobry pod koniec grudnia 2024 r. Kampania trwała podobno około miesiąca, narażając na szwank wiele maszyn na całym świecie.
Spis treści
Wysokowydajne maszyny wykorzystywane w górnictwie
Kampania była skierowana przede wszystkim do użytkowników indywidualnych i firm w wielu regionach, ze znaczącymi wskaźnikami infekcji w Rosji, Brazylii, Niemczech, Białorusi i Kazachstanie. Skupiając się na konfiguracjach gier z potężnym sprzętem, atakujący zmaksymalizowali wydajność swoich tajnych operacji wydobywczych.
Popularne gry używane jako przynęty
Atak polegał na maskowaniu groźnych instalatorów jako legalnych kopii znanych gier. Wśród tytułów użytych jako przynęta znalazły się BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox i Plutocracy. Aktorzy zagrożenia przesłali te trojańskie instalatory na strony torrentowe już we wrześniu 2024 r., co wskazuje, że operacja była starannie zaplanowana.
Zainfekowane instalatory uruchamiają ukryty łańcuch ataków
Nieświadomi użytkownicy, którzy pobrali te tak zwane „repacki”, zobaczyli coś, co wyglądało na standardowy proces instalacji. Podczas instalacji ukryty plik droppera („unrar.dll”) został wdrożony i uruchomiony w tle, inicjując kolejny etap infekcji.
Zaawansowane techniki unikania w akcji
Przed kontynuowaniem dropper wykonał wiele kontroli, aby upewnić się, że nie działa w środowisku wirtualnym lub piaskownicy, demonstrując swoje wyrafinowane możliwości unikania. Następnie skontaktował się z usługami zewnętrznymi, takimi jak api.myip.com, ip-api.com i ipwho.is, aby zebrać adresy IP i określić lokalizacje użytkowników. Jeśli ten krok się nie powiódł, systemowi przypisywano domyślną lokalizację Chin lub Białorusi z przyczyn, które pozostają niejasne.
Złożony, wieloetapowy proces realizacji
Po odcisku palca maszyny dropper odszyfrował i wykonał inny komponent o nazwie „MTX64.exe”. Ten plik wykonywalny zapisał swoją zawartość jako „Windows.Graphics.ThumbnailHandler.dll” w katalogu systemowym. Oparty na legalnym projekcie open source, EpubShellExtThumbnailHandler, plik wykonywalny niewłaściwie wykorzystał funkcjonalność rozszerzenia powłoki systemu Windows do załadowania następującego ładunku, „Kickstarter”.
Komponent Kickstarter wyodrębnił zaszyfrowany blob danych i zapisał go na dysku pod nazwą „Unix.Directory.IconHandler.dll” w ukrytym folderze w katalogu AppData użytkownika. Ten nowy plik pobrał następnie ładunek końcowy ze zdalnego serwera, który zawierał rzeczywistego górnika kryptowaluty.
Wdrażanie i monitorowanie procesów Stealthy Miner
Wykonywanie górnika było ściśle monitorowane, aby uniknąć wykrycia. Ciągle sprawdzał narzędzia do monitorowania systemu, takie jak Task Manager ('taskmgr.exe') i Process Monitor ('procmon.exe'). Jeśli którykolwiek z tych procesów został wykryty, górnik był natychmiast kończony, aby uniknąć kontroli.
XMRig zmodyfikowany pod kątem selektywnego wydobywania
Podstawą operacji była dostosowana wersja koparki XMRig . Aktywowała się tylko na procesorach z co najmniej ośmioma rdzeniami, zapewniając, że zainfekowane maszyny miały wystarczającą moc obliczeniową do wydajnego kopania. Ponadto, zamiast polegać na publicznym puli wydobywczej, atakujący skonfigurowali własny prywatny serwer, aby kierować zyski z wydobycia wyłącznie do swojej infrastruktury.
XMRig wykorzystał swoją wbudowaną funkcjonalność do analizy instrukcji wiersza poleceń, utrzymując jednocześnie oddzielny wątek do sprawdzania aktywnych narzędzi monitorujących. Ten trwały mechanizm samoobrony pomógł utrzymać aktywność wydobywczą w ukryciu przed użytkownikiem.
Tajemnicze zagrożenie z rosyjskimi wskazówkami
Pomimo skali i wyrafinowania operacji, tożsamość sprawców pozostaje nieznana. Jednak badacze odkryli rosyjskojęzyczne ciągi znaków osadzone w komponentach kampanii, co sugeruje, że atak mógł pochodzić od rosyjskojęzycznego aktora zagrożenia.
Kampania StaryDobry podkreśla ryzyko związane z pobieraniem oprogramowania z niezweryfikowanych źródeł. Wykorzystując instalatory gier jako przynętę, cyberprzestępcy zdołali wdrożyć ukrytego minera, utrzymując jednocześnie ukrytą obecność w zainfekowanych systemach. Ten incydent podkreśla znaczenie ostrożności przy pobieraniu oprogramowania online, ponieważ aktorzy zagrożeń nadal udoskonalają swoje oszukańcze taktyki.
