สตารีโดบรี้ โจมตี
ผู้เล่นที่ค้นหาเกมจำลองสถานการณ์และเกมที่อิงตามฟิสิกส์ยอดนิยมอาจติดตั้งโปรแกรมขุดสกุลเงินดิจิทัลที่ซ่อนอยู่บนระบบ Windows โดยไม่รู้ตัว นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุปฏิบัติการขนาดใหญ่ที่มีชื่อรหัสว่า StaryDobry เป็นครั้งแรกในช่วงปลายเดือนธันวาคม 2024 โดยมีรายงานว่าแคมเปญนี้กินเวลานานประมาณหนึ่งเดือน โดยโจมตีเครื่องคอมพิวเตอร์จำนวนมากทั่วโลก
สารบัญ
เครื่องจักรประสิทธิภาพสูงที่นำมาใช้งานในการทำเหมืองแร่
แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้รายบุคคลและธุรกิจต่างๆ ในหลายภูมิภาคเป็นหลัก โดยมีอัตราการติดเชื้อที่น่าสังเกตในรัสเซีย บราซิล เยอรมนี เบลารุส และคาซัคสถาน โดยการมุ่งเน้นไปที่การตั้งค่าเกมที่มีฮาร์ดแวร์ที่มีประสิทธิภาพ ผู้โจมตีสามารถเพิ่มประสิทธิภาพของการดำเนินการขุดเหมืองที่ซ่อนเร้นให้สูงสุด
เกมส์ยอดนิยมที่ใช้ล่อเหยื่อ
การโจมตีดังกล่าวอาศัยการปลอมตัวโปรแกรมติดตั้งที่คุกคามโดยอ้างว่าเป็นสำเนาถูกต้องของเกมชื่อดัง โดยชื่อเกมที่ใช้ล่อเหยื่อได้แก่ BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox และ Plutocracy ผู้ก่อภัยคุกคามได้อัปโหลดโปรแกรมติดตั้งที่ติดโทรจันเหล่านี้ไปยังเว็บไซต์ทอร์เรนต์ตั้งแต่เดือนกันยายน 2024 ซึ่งบ่งชี้ว่าการดำเนินการดังกล่าวได้รับการวางแผนไว้อย่างรอบคอบ
โปรแกรมติดตั้งที่ติดไวรัสจะกระตุ้นให้เกิดการโจมตีแบบแอบแฝง
ผู้ใช้ที่ดาวน์โหลดสิ่งที่เรียกว่า 'repacks' เหล่านี้โดยไม่ทันระวังตัว พบว่ามีขั้นตอนการติดตั้งมาตรฐาน ในระหว่างการติดตั้ง ไฟล์ดรอปเปอร์ที่ซ่อนอยู่ ('unrar.dll') จะถูกนำไปใช้และดำเนินการในเบื้องหลัง ซึ่งเป็นการเริ่มต้นขั้นตอนต่อไปของการติดเชื้อ
เทคนิคการหลบเลี่ยงขั้นสูงในการใช้งานจริง
ก่อนจะดำเนินการต่อ ดรอปเปอร์จะทำการตรวจสอบหลายครั้งเพื่อให้แน่ใจว่าไม่ได้ทำงานในสภาพแวดล้อมเสมือนจริงหรือแซนด์บ็อกซ์ ซึ่งแสดงให้เห็นถึงความสามารถในการหลบเลี่ยงที่ซับซ้อน จากนั้นจึงติดต่อบริการภายนอก เช่น api.myip.com, ip-api.com และ ipwho.is เพื่อรวบรวมที่อยู่ IP และระบุตำแหน่งของผู้ใช้ หากขั้นตอนนี้ล้มเหลว ระบบจะได้รับตำแหน่งเริ่มต้นเป็นจีนหรือเบลารุสด้วยเหตุผลบางประการที่ยังไม่ชัดเจน
กระบวนการดำเนินการที่มีหลายขั้นตอนและซับซ้อน
เมื่อเครื่องได้รับการระบุลายนิ้วมือแล้ว ดรอปเปอร์จะถอดรหัสและดำเนินการส่วนประกอบอื่นที่มีชื่อว่า 'MTX64.exe' ไฟล์ปฏิบัติการนี้บันทึกเนื้อหาเป็น 'Windows.Graphics.ThumbnailHandler.dll' ในไดเรกทอรีระบบ ไฟล์ปฏิบัติการนี้ใช้ฟังก์ชัน Windows Shell Extension ในทางที่ผิดเพื่อโหลดเนื้อหาต่อไปนี้ 'Kickstarter' โดยอิงตามโครงการโอเพ่นซอร์สที่ถูกต้องตามกฎหมาย EpubShellExtThumbnailHandler
ส่วนประกอบ Kickstarter ดึงข้อมูลเข้ารหัสออกมาและเขียนลงในดิสก์ภายใต้ชื่อ 'Unix.Directory.IconHandler.dll' ในโฟลเดอร์ที่ซ่อนอยู่ภายในไดเร็กทอรี AppData ของผู้ใช้ จากนั้นไฟล์ใหม่นี้จะดึงข้อมูลขั้นตอนสุดท้ายจากเซิร์ฟเวอร์ระยะไกลซึ่งมีเครื่องขุดสกุลเงินดิจิทัลอยู่
การใช้งานและการตรวจสอบกระบวนการของ Stealthy Miner
ระบบจะตรวจสอบการทำงานของนักขุดอย่างใกล้ชิดเพื่อหลีกเลี่ยงการตรวจจับ โดยจะตรวจสอบเครื่องมือตรวจสอบระบบอย่างต่อเนื่อง เช่น Task Manager ('taskmgr.exe') และ Process Monitor ('procmon.exe') หากตรวจพบกระบวนการใดกระบวนการหนึ่ง นักขุดจะถูกยุติการทำงานทันทีเพื่อหลีกเลี่ยงการตรวจสอบ
XMRig ปรับแต่งเพื่อการขุดแบบเลือก
แกนหลักของการดำเนินการคือเครื่องขุด XMRig เวอร์ชันปรับแต่ง ซึ่งจะเปิดใช้งานได้เฉพาะบน CPU ที่มีอย่างน้อย 8 คอร์เท่านั้น เพื่อให้แน่ใจว่าเครื่องที่ถูกบุกรุกจะมีพลังการประมวลผลเพียงพอที่จะขุดได้อย่างมีประสิทธิภาพ นอกจากนี้ แทนที่จะพึ่งพาพูลการขุดสาธารณะ ผู้โจมตีจะตั้งค่าเซิร์ฟเวอร์ส่วนตัวเพื่อส่งกำไรจากการขุดไปยังโครงสร้างพื้นฐานของพวกเขาโดยเฉพาะ
XMRig ใช้ประโยชน์จากฟังก์ชันในตัวเพื่อวิเคราะห์คำสั่งบรรทัดคำสั่งในขณะที่รักษาเธรดแยกต่างหากเพื่อตรวจสอบเครื่องมือตรวจสอบที่ใช้งานอยู่ กลไกการป้องกันตัวเองอย่างต่อเนื่องนี้ช่วยให้กิจกรรมการขุดซ่อนจากผู้ใช้
ภัยคุกคามลึกลับพร้อมเบาะแสจากรัสเซีย
แม้ว่าปฏิบัติการนี้จะมีขนาดใหญ่และซับซ้อนมาก แต่ตัวตนของผู้ก่อเหตุยังคงไม่ชัดเจน อย่างไรก็ตาม นักวิจัยค้นพบข้อความภาษารัสเซียที่แฝงอยู่ในส่วนประกอบของแคมเปญ ซึ่งบ่งชี้ว่าการโจมตีดังกล่าวอาจมีต้นตอมาจากผู้ก่อภัยคุกคามที่พูดภาษารัสเซีย
แคมเปญ StaryDobry เน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่ผ่านการตรวจสอบ โดยอาศัยโปรแกรมติดตั้งเกมเป็นเหยื่อล่อ อาชญากรไซเบอร์สามารถใช้งานโปรแกรมขุดที่ซ่อนอยู่ได้ในขณะที่ยังคงรักษาสถานะที่ซ่อนเร้นบนระบบที่ถูกบุกรุก เหตุการณ์นี้เน้นย้ำถึงความสำคัญของความระมัดระวังในการซื้อซอฟต์แวร์ทางออนไลน์ เนื่องจากผู้ก่อภัยคุกคามยังคงพัฒนากลวิธีหลอกลวงของตนต่อไป
