StaryDobry 攻击
寻找流行模拟和物理游戏的玩家可能在不知情的情况下在 Windows 系统上安装了隐藏的加密货币挖矿程序。网络安全研究人员于 2024 年 12 月下旬首次发现了这一代号为 StaryDobry 的大规模行动。据报道,该活动持续了大约一个月,影响了全球众多机器。
目录
用于采矿的高性能机器
该活动主要针对多个地区的个人用户和企业,俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦的感染率较高。通过专注于具有强大硬件的游戏设置,攻击者最大限度地提高了其隐蔽挖矿操作的效率。
热门游戏被用作诱饵
此次攻击依赖于将威胁性安装程序伪装成知名游戏的合法副本。用作诱饵的游戏包括 BeamNG.drive、Garry's Mod、Dyson Sphere Program、Universe Sandbox 和 Plutocracy。威胁行为者早在 2024 年 9 月就将这些木马安装程序上传到种子网站,表明该行动是经过精心策划的。
受感染的安装程序触发隐秘攻击链
毫无戒心的用户在下载这些所谓的“重新打包”后,会看到一个看似标准的安装过程。在安装过程中,会部署并在后台执行一个隐藏的植入程序文件(“unrar.dll”),从而启动感染的下一阶段。
高级逃避技术的应用
在继续之前,该植入程序会执行多项检查,以确保其未在虚拟化或沙盒环境中运行,从而展示其复杂的规避能力。然后,它会联系外部服务(如 api.myip.com、ip-api.com 和 ipwho.is)来收集 IP 地址并确定用户位置。如果此步骤失败,系统将被分配一个默认位置,即中国或白俄罗斯,原因尚不清楚。
复杂的多阶段执行过程
一旦机器被指纹识别,植入程序就会解密并执行另一个名为“MTX64.exe”的组件。此可执行文件将其内容保存为系统目录中的“Windows.Graphics.ThumbnailHandler.dll”。基于合法的开源项目 EpubShellExtThumbnailHandler,可执行文件滥用 Windows Shell 扩展功能来加载以下有效负载“Kickstarter”。
Kickstarter 组件提取了一个加密数据块,并将其以“Unix.Directory.IconHandler.dll”的名称写入用户 AppData 目录内的一个隐藏文件夹中的磁盘。然后,这个新文件从远程服务器检索了最后阶段的有效负载,其中包含实际的加密货币矿工。
隐秘矿工部署和过程监控
矿工的执行受到严密监控,以避免被发现。它会不断检查系统监控工具,如任务管理器(“taskmgr.exe”)和进程监视器(“procmon.exe”)。如果检测到其中任何一个进程,矿工就会立即终止运行,以逃避审查。
XMRig 针对选择性挖矿进行了调整
此次行动的核心是定制版XMRig矿机。它仅在具有至少 8 个内核的 CPU 上激活,以确保受感染的机器具有足够的处理能力来高效挖矿。此外,攻击者不依赖公共矿池,而是建立了自己的私人服务器,将挖矿利润专门用于他们的基础设施。
XMRig 利用其内置功能来解析命令行指令,同时维护一个单独的线程来检查主动监控工具。这种持久的自我防御机制有助于隐藏用户挖掘活动。
带有俄罗斯线索的神秘威胁
尽管此次行动规模庞大、复杂程度高,但实施者的身份仍不得而知。不过,研究人员发现,该活动的组件中嵌入了俄语字符串,这表明此次攻击可能源自一名讲俄语的威胁行为者。
StaryDobry 活动凸显了从未经验证的来源下载软件的风险。通过利用游戏安装程序作为诱饵,网络犯罪分子成功部署了隐藏的挖矿程序,同时在受感染的系统上保持隐秘存在。由于威胁行为者不断改进其欺骗手段,此事件凸显了在线获取软件时谨慎的重要性。
