StaryDobry Saldırısı
Popüler simülasyon ve fizik tabanlı oyunlar arayan oyuncular, Windows sistemlerine bilmeden gizli bir kripto para madencisi yüklemiş olabilirler. Siber güvenlik araştırmacıları, kod adı StaryDobry olan bu büyük ölçekli operasyonu ilk olarak Aralık 2024'ün sonlarında tespit ettiler. Kampanyanın yaklaşık bir ay sürdüğü ve dünya çapında çok sayıda makineyi tehlikeye attığı bildirildi.
İçindekiler
Madencilik İçin Yüksek Performanslı Makineler Kullanılıyor
Kampanya, Rusya, Brezilya, Almanya, Belarus ve Kazakistan'da kayda değer enfeksiyon oranlarıyla, öncelikle birden fazla bölgedeki hem bireysel kullanıcıları hem de işletmeleri hedef aldı. Saldırganlar, güçlü donanıma sahip oyun kurulumlarına odaklanarak gizli madencilik operasyonlarının verimliliğini en üst düzeye çıkardı.
Yem Olarak Kullanılan Popüler Oyunlar
Saldırı, tehdit edici yükleyicileri iyi bilinen oyunların meşru kopyaları olarak gizlemeye dayanıyordu. Yem olarak kullanılan oyunlar arasında BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox ve Plutocracy vardı. Tehdit aktörleri bu truva atı haline getirilmiş yükleyicileri torrent sitelerine Eylül 2024 gibi erken bir tarihte yüklediler ve bu da operasyonun dikkatlice önceden planlandığını gösteriyor.
Enfekte Yükleyiciler Gizli Bir Saldırı Zincirini Tetikler
Bu sözde 'yeniden paketlemeleri' indiren şüphelenmeyen kullanıcılara, standart bir kurulum süreci gibi görünen bir şey sunuldu. Kurulum sırasında, gizli bir dropper dosyası ('unrar.dll') arka planda dağıtıldı ve yürütüldü ve enfeksiyonun bir sonraki aşaması başlatıldı.
Gelişmiş Kaçınma Teknikleri Eylemde
Devam etmeden önce, damlalık sanallaştırılmış veya korumalı bir ortamda çalışmadığından emin olmak için birden fazla kontrol gerçekleştirdi ve gelişmiş kaçınma yeteneklerini gösterdi. Daha sonra IP adreslerini toplamak ve kullanıcı konumlarını belirlemek için api.myip.com, ip-api.com ve ipwho.is gibi harici hizmetlerle iletişime geçti. Bu adım başarısız olursa, sistem belirsizliğini koruyan nedenlerle varsayılan olarak Çin veya Belarus olarak atandı.
Karmaşık Çok Aşamalı Bir Uygulama Süreci
Makine parmak izi alındıktan sonra, damlalık 'MTX64.exe' adlı başka bir bileşeni şifresini çözdü ve çalıştırdı. Bu yürütülebilir dosya, içeriğini bir sistem dizininde 'Windows.Graphics.ThumbnailHandler.dll' olarak kaydetti. Meşru bir açık kaynaklı proje olan EpubShellExtThumbnailHandler'a dayanan yürütülebilir dosya, aşağıdaki yükü, 'Kickstarter'ı yüklemek için Windows Kabuk Uzantısı işlevselliğini kötüye kullandı.
Kickstarter bileşeni şifrelenmiş bir veri bloğunu çıkardı ve bunu kullanıcının AppData dizinindeki gizli bir klasörde 'Unix.Directory.IconHandler.dll' adı altında diske yazdı. Bu yeni dosya daha sonra gerçek kripto para madencisini içeren uzak bir sunucudan son aşama yükünü aldı.
Gizli Madenci Dağıtımı ve İşlem İzleme
Madencinin yürütmesi, tespit edilmekten kaçınmak için yakından izlendi. Görev Yöneticisi ('taskmgr.exe') ve İşlem İzleyicisi ('procmon.exe') gibi sistem izleme araçlarını sürekli olarak kontrol etti. Bu işlemlerden herhangi biri tespit edilirse, incelemeden kaçınmak için madenci derhal sonlandırıldı.
Seçici Madencilik için XMRig Ayarlandı
Operasyonun merkezinde XMRig madencisinin özelleştirilmiş bir versiyonu vardı. Bu versiyon yalnızca en az sekiz çekirdekli CPU'larda etkinleştirildi ve tehlikeye atılan makinelerin verimli bir şekilde madencilik yapmak için yeterli işlem gücüne sahip olmasını sağladı. Ayrıca, saldırganlar halka açık bir madencilik havuzuna güvenmek yerine madencilik karlarını yalnızca kendi altyapılarına yönlendirmek için kendi özel sunucularını kurdular.
XMRig, aktif izleme araçlarını kontrol etmek için ayrı bir iş parçacığını korurken komut satırı talimatlarını ayrıştırmak için yerleşik işlevselliğinden yararlandı. Bu kalıcı kendini savunma mekanizması, madencilik etkinliğinin kullanıcıdan gizli kalmasına yardımcı oldu.
Rus İpuçlarıyla Gizemli Bir Tehdit
Operasyonun ölçeği ve karmaşıklığına rağmen, faillerin kimlikleri hala bilinmiyor. Ancak araştırmacılar, kampanyanın bileşenlerine gömülü Rusça dizeler keşfettiler ve bu da saldırının Rusça konuşan bir tehdit aktöründen kaynaklanmış olabileceğini düşündürüyor.
StaryDobry kampanyası, doğrulanmamış kaynaklardan yazılım indirmenin beraberinde getirdiği riskleri vurguluyor. Siber suçlular, oyun yükleyicilerini yem olarak kullanarak, tehlikeye atılmış sistemlerde gizli bir varlık sürdürürken gizli bir madenci yerleştirmeyi başardılar. Bu olay, tehdit aktörlerinin aldatıcı taktiklerini geliştirmeye devam etmesiyle çevrimiçi yazılım edinirken dikkatli olmanın önemini vurguluyor.
