Pag-atake ng StaryDobry
Ang mga manlalarong naghahanap ng sikat na simulation at mga larong nakabatay sa pisika ay maaaring hindi sinasadyang nag-install ng nakatagong cryptocurrency na minero sa kanilang mga Windows system. Una nang natukoy ng mga mananaliksik sa cybersecurity ang malakihang operasyong ito, na may codenamed StaryDobry, noong huling bahagi ng Disyembre 2024. Ang kampanya ay iniulat na tumagal nang humigit-kumulang isang buwan, na nakompromiso ang maraming makina sa buong mundo.
Talaan ng mga Nilalaman
Mahusay na Makina na Pinagsasamantalahan para sa Pagmimina
Pangunahing tina-target ng campaign ang mga indibidwal na user at negosyo sa maraming rehiyon, na may kapansin-pansing rate ng impeksyon sa Russia, Brazil, Germany, Belarus at Kazakhstan. Sa pamamagitan ng pagtuon sa mga setup ng gaming na may malakas na hardware, na-maximize ng mga umaatake ang kahusayan ng kanilang mga palihim na operasyon sa pagmimina.
Mga Popular na Larong Ginamit Bilang Pang-akit
Ang pag-atake ay umasa sa pagkukunwari ng mga nagbabantang installer bilang mga lehitimong kopya ng mga kilalang laro. Kabilang sa mga pamagat na ginamit bilang pain ay ang BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox at Plutocracy. In-upload ng mga banta ng aktor ang mga na-trojanized na installer na ito sa mga torrent site noong Setyembre 2024, na nagpapahiwatig na ang operasyon ay maingat na pinag-isipan.
Ang mga Infected na Installer ay Nag-trigger ng Palihim na Attack Chain
Ang mga hindi pinaghihinalaang user na nag-download ng mga tinatawag na 'repacks' na ito ay ipinakita sa tila isang karaniwang proseso ng pag-install. Sa panahon ng pag-setup, isang nakatagong dropper file ('unrar.dll') ang na-deploy at naisakatuparan sa background, na nagpasimula sa susunod na yugto ng impeksyon.
Mga Advanced na Teknik sa Pag-iwas sa Aksyon
Bago magpatuloy, nagsagawa ang dropper ng maraming pagsusuri upang matiyak na hindi ito tumatakbo sa isang virtualized o sandboxed na kapaligiran, na nagpapakita ng mga sopistikadong kakayahan sa pag-iwas nito. Pagkatapos ay nakipag-ugnayan ito sa mga panlabas na serbisyo tulad ng api.myip.com, ip-api.com, at ipwho.is upang mangalap ng mga IP address at matukoy ang mga lokasyon ng user. Kung nabigo ang hakbang na ito, itinalaga ang system ng isang default na lokasyon ng China o Belarus para sa mga kadahilanang nananatiling hindi malinaw.
Isang Masalimuot na Multi-Stage na Proseso ng Pagpapatupad
Kapag na-fingerprint na ang makina, nagde-decrypt ang dropper at nag-execute ng isa pang component na pinangalanang 'MTX64.exe.' Nai-save ng executable na ito ang mga nilalaman nito bilang 'Windows.Graphics.ThumbnailHandler.dll' sa isang direktoryo ng system. Batay sa isang lehitimong open-source na proyekto, EpubShellExtThumbnailHandler, ang executable na maling paggamit ng functionality ng Windows Shell Extension upang i-load ang sumusunod na payload, 'Kickstarter.'
Ang Kickstarter component ay nag-extract ng naka-encrypt na data blob at isinulat ito sa disk sa ilalim ng pangalang 'Unix.Directory.IconHandler.dll' sa isang nakatagong folder sa loob ng AppData directory ng user. Kinuha ng bagong file na ito ang final-stage payload mula sa isang malayuang server, na naglalaman ng aktwal na miner ng cryptocurrency.
Ang Stealthy Miner Deployment at Pagsubaybay sa Proseso
Ang pagbitay sa minero ay mahigpit na sinusubaybayan upang maiwasan ang pagtuklas. Patuloy itong nagsuri para sa mga tool sa pagsubaybay ng system tulad ng Task Manager ('taskmgr.exe') at Process Monitor ('procmon.exe'). Kung ang alinman sa mga prosesong ito ay nakita, ang minero ay agad na tinapos upang maiwasan ang pagsisiyasat.
XMRig Tweaked para sa Selective Mining
Sa ubod ng operasyon ay isang customized na bersyon ng XMRig minero. Nag-activate lamang ito sa mga CPU na may hindi bababa sa walong mga core, na tinitiyak na ang mga nakompromisong makina ay may sapat na kapangyarihan sa pagpoproseso upang magmina nang mahusay. Bilang karagdagan, sa halip na umasa sa isang pampublikong pool ng pagmimina, ang mga umaatake ay nag-set up ng kanilang sariling pribadong server upang direktang idirekta ang mga kita sa pagmimina sa kanilang imprastraktura.
Ginamit ng XMRig ang built-in na functionality nito upang i-parse ang mga tagubilin sa command-line habang pinapanatili ang isang hiwalay na thread upang suriin ang mga aktibong tool sa pagsubaybay. Ang patuloy na mekanismo ng pagtatanggol sa sarili na ito ay tumulong na panatilihing nakatago mula sa user ang aktibidad ng pagmimina.
Isang Misteryosong Banta na may mga Pahiwatig na Ruso
Sa kabila ng laki at pagiging sopistikado ng operasyon, nananatiling hindi kilala ang pagkakakilanlan ng mga salarin. Gayunpaman, natuklasan ng mga mananaliksik ang mga string ng Russian-language na naka-embed sa loob ng mga bahagi ng campaign, na nagmumungkahi na ang pag-atake ay maaaring nagmula sa isang banta na nagsasalita ng Russian.
Itinatampok ng kampanyang StaryDobry ang mga panganib na nauugnay sa pag-download ng software mula sa hindi na-verify na mga mapagkukunan. Sa pamamagitan ng paggamit ng mga installer ng laro bilang pain, nagawa ng mga cybercriminal na mag-deploy ng isang nakatagong minero habang pinapanatili ang isang patagong presensya sa mga nakompromisong system. Binibigyang-diin ng insidenteng ito ang kahalagahan ng pag-iingat kapag kumukuha ng software online habang patuloy na pinipino ng mga threat actor ang kanilang mga mapanlinlang na taktika.
