Napad StaryDobry
Igralci, ki iščejo priljubljene igre, ki temeljijo na simulacijah in fiziki, so morda nevede namestili skriti rudar kriptovalut v svoje sisteme Windows. Raziskovalci kibernetske varnosti so to obsežno operacijo s kodnim imenom StaryDobry prvič identificirali konec decembra 2024. Kampanja naj bi trajala približno en mesec in ogrozila številne stroje po vsem svetu.
Kazalo
Visoko zmogljivi stroji, ki se uporabljajo za rudarjenje
Kampanja je bila primarno usmerjena na posamezne uporabnike in podjetja v več regijah, z opaznimi stopnjami okužb v Rusiji, Braziliji, Nemčiji, Belorusiji in Kazahstanu. Z osredotočanjem na igralne nastavitve z zmogljivo strojno opremo so napadalci povečali učinkovitost svojih skritih rudarskih operacij.
Priljubljene igre, ki se uporabljajo kot vabe
Napad je temeljil na prikrivanju grozečih namestitvenih programov kot legitimnih kopij dobro znanih iger. Med naslovi, uporabljenimi kot vaba, so bili BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox in Plutocracy. Akterji groženj so te trojanske namestitvene programe naložili na hudourniška mesta že septembra 2024, kar kaže, da je bila operacija skrbno premišljena.
Okuženi namestitveni programi sprožijo prikrito verigo napadov
Nič hudega sluteči uporabniki, ki so prenesli te tako imenovane "ponovne pakete", so dobili nekaj, kar se je zdelo kot standardni postopek namestitve. Med namestitvijo je bila v ozadju nameščena in izvedena skrita kapalna datoteka ('unrar.dll'), ki je sprožila naslednjo stopnjo okužbe.
Napredne tehnike utaje v akciji
Preden je nadaljeval, je dropper izvedel več preverjanj, da bi zagotovil, da ne deluje v virtualiziranem okolju ali okolju v peskovniku, s čimer je pokazal svoje prefinjene zmožnosti izogibanja. Nato se je povezal z zunanjimi storitvami, kot so api.myip.com, ip-api.com in ipwho.is, da bi zbral naslove IP in določil lokacije uporabnikov. Če ta korak ni uspel, je bila sistemu zaradi nejasnih razlogov dodeljena privzeta lokacija Kitajska ali Belorusija.
Kompleksen večstopenjski postopek izvajanja
Ko je stroj dobil prstni odtis, je dropper dešifriral in izvedel drugo komponento z imenom 'MTX64.exe.' Ta izvršljiva datoteka je svojo vsebino shranila kot 'Windows.Graphics.ThumbnailHandler.dll' v sistemski imenik. Na podlagi zakonitega odprtokodnega projekta EpubShellExtThumbnailHandler je izvršljiva datoteka zlorabila funkcionalnost razširitve lupine Windows za nalaganje naslednjega koristnega tovora, »Kickstarter«.
Komponenta Kickstarter je izvlekla šifrirano podatkovno blob in jo zapisala na disk pod imenom 'Unix.Directory.IconHandler.dll' v skrito mapo v uporabnikovem imeniku AppData. Ta nova datoteka je nato iz oddaljenega strežnika pridobila koristni tovor končne stopnje, ki je vseboval dejanskega rudarja kriptovalute.
Uvajanje prikritega rudarja in spremljanje procesa
Rudarjevo usmrtitev so natančno spremljali, da bi se izognili odkritju. Nenehno je preverjal orodja za nadzor sistema, kot sta upravitelj opravil ('taskmgr.exe') in nadzornik procesov ('procmon.exe'). Če je bil odkrit kateri koli od teh procesov, je bil rudar takoj ukinjen, da bi se izognil nadzoru.
XMRig prilagojen za selektivno rudarjenje
Jedro operacije je bila prilagojena različica rudarja XMRig . Aktiviral se je samo na procesorjih z vsaj osmimi jedri, kar je zagotovilo, da so imeli ogroženi stroji zadostno procesorsko moč za učinkovito rudarjenje. Poleg tega, namesto da bi se zanašali na javno rudarsko skupino, so napadalci vzpostavili svoj zasebni strežnik za usmerjanje rudarskih dobičkov izključno v svojo infrastrukturo.
XMRig je izkoristil svojo vgrajeno funkcionalnost za razčlenjevanje navodil ukazne vrstice, medtem ko je ohranil ločeno nit za preverjanje aktivnih orodij za spremljanje. Ta vztrajni samoobrambni mehanizem je pomagal ohraniti dejavnost rudarjenja skrito pred uporabnikom.
Skrivnostna grožnja z ruskimi namigi
Kljub obsegu in zahtevnosti operacije ostaja identiteta storilcev neznana. Vendar pa so raziskovalci odkrili nize v ruskem jeziku, vdelane v komponente kampanje, kar nakazuje, da je napad morda izviral iz rusko govorečega akterja grožnje.
Kampanja StaryDobry poudarja tveganja, povezana s prenosom programske opreme iz nepreverjenih virov. Z izkoriščanjem namestitvenih programov iger kot vabe je kiberkriminalcem uspelo namestiti skritega rudarja, hkrati pa ohraniti prikrito prisotnost v ogroženih sistemih. Ta incident poudarja pomen previdnosti pri nakupovanju programske opreme na spletu, saj akterji groženj še naprej izpopolnjujejo svoje zavajajoče taktike.
