Útok StaryDobry
Hráči, ktorí hľadajú populárne simulačné a fyzikálne hry, si možno do svojich systémov Windows nevedomky nainštalovali skrytý baník kryptomien. Výskumníci v oblasti kybernetickej bezpečnosti prvýkrát identifikovali túto rozsiahlu operáciu s kódovým označením StaryDobry koncom decembra 2024. Kampaň údajne trvala približne mesiac a ohrozila početné stroje na celom svete.
Obsah
Vysokovýkonné stroje využívané na ťažbu
Kampaň sa primárne zamerala na individuálnych používateľov a podniky vo viacerých regiónoch s pozoruhodnou mierou infekcie v Rusku, Brazílii, Nemecku, Bielorusku a Kazachstane. Zameraním sa na herné nastavenia s výkonným hardvérom útočníci maximalizovali efektivitu svojich skrytých ťažobných operácií.
Populárne hry používané ako návnady
Útok spočíval v maskovaní hrozivých inštalátorov za legitímne kópie známych hier. Medzi titulmi použitými ako návnada boli BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox a Plutocracy. Aktéri hrozby nahrali tieto trojanizované inštalátory na torrentové stránky už v septembri 2024, čo naznačuje, že operácia bola starostlivo premyslená.
Infikovaní inštalatéri spustia tajný reťazec útoku
Nič netušiaci používatelia, ktorí si stiahli tieto takzvané 'prebalenia', dostali pred sebou niečo, čo vyzeralo ako štandardný inštalačný proces. Počas inštalácie bol nasadený skrytý súbor dropper ('unrar.dll') a spustený na pozadí, čím sa spustila ďalšia fáza infekcie.
Pokročilé únikové techniky v akcii
Pred pokračovaním kvapkadlo vykonalo viacero kontrol, aby sa uistil, že nebeží vo virtualizovanom alebo izolovanom prostredí, čím demonštroval svoje sofistikované možnosti úniku. Potom kontaktoval externé služby, ako sú api.myip.com, ip-api.com a ipwho.is, aby zhromaždil adresy IP a určil polohy používateľov. Ak tento krok zlyhal, systému bola pridelená predvolená lokalita Čína alebo Bielorusko z dôvodov, ktoré zostávajú nejasné.
Komplexný viacstupňový proces vykonávania
Po odobratí odtlačkov prstov kvapkadlo dešifrovalo a spustilo ďalší komponent s názvom „MTX64.exe“. Tento spustiteľný súbor uložil svoj obsah ako „Windows.Graphics.ThumbnailHandler.dll“ do systémového adresára. Na základe legitímneho open source projektu, EpubShellExtThumbnailHandler, spustiteľný súbor zneužil funkčnosť rozšírenia Windows Shell na načítanie nasledujúceho užitočného obsahu „Kickstarter“.
Komponent Kickstarter extrahoval zašifrovaný dátový blok a zapísal ho na disk pod názvom „Unix.Directory.IconHandler.dll“ do skrytého priečinka v adresári AppData používateľa. Tento nový súbor potom načítal konečný obsah zo vzdialeného servera, ktorý obsahoval skutočný baník kryptomien.
Tajné nasadenie baníkov a monitorovanie procesov
Poprava baníka bola dôkladne sledovaná, aby sa predišlo odhaleniu. Neustále kontroloval nástroje na monitorovanie systému, ako je Správca úloh ('taskmgr.exe') a Monitor procesov ('procmon.exe'). Ak bol zistený niektorý z týchto procesov, baník bol okamžite ukončený, aby sa vyhol kontrole.
XMRig vylepšený pre selektívnu ťažbu
Jadrom operácie bola prispôsobená verzia baníka XMRig . Aktivoval sa iba na procesoroch s najmenej ôsmimi jadrami, čím sa zabezpečilo, že napadnuté počítače budú mať dostatočný výpočtový výkon na efektívnu ťažbu. Okrem toho, namiesto spoliehania sa na verejný fond ťažby, útočníci zriadili svoj vlastný súkromný server, aby nasmerovali zisky z ťažby výlučne do svojej infraštruktúry.
XMRig využil svoju vstavanú funkčnosť na analýzu pokynov príkazového riadka pri zachovaní samostatného vlákna na kontrolu aktívnych monitorovacích nástrojov. Tento pretrvávajúci mechanizmus sebaobrany pomohol udržať ťažobnú činnosť pred používateľom skrytú.
Tajomná hrozba s ruskými stopami
Napriek rozsahu a sofistikovanosti operácie zostáva totožnosť páchateľov neznáma. Výskumníci však objavili reťazce v ruskom jazyku vložené do komponentov kampane, čo naznačuje, že útok mohol pochádzať od rusky hovoriaceho aktéra hrozby.
Kampaň StaryDobry upozorňuje na riziká spojené so sťahovaním softvéru z neoverených zdrojov. Využitím inštalátorov hier ako návnady sa kyberzločincom podarilo nasadiť skrytého baníka a zároveň zachovať tajnú prítomnosť na napadnutých systémoch. Tento incident podčiarkuje dôležitosť opatrnosti pri získavaní softvéru online, keďže aktéri hrozieb naďalej zdokonaľujú svoje klamlivé taktiky.
