StaryDobry 攻擊
尋找流行模擬和基於物理的遊戲的玩家可能在不知不覺中在他們的 Windows 系統上安裝了隱藏的加密貨幣礦工。網路安全研究人員於 2024 年 12 月下旬首次發現了這一代為 StaryDobry 的大規模行動。
目錄
用於採礦的高性能機器
該活動主要針對多個地區的個人用戶和企業,其中俄羅斯、巴西、德國、白俄羅斯和哈薩克的感染率較高。透過專注於具有強大硬體的遊戲設置,攻擊者最大限度地提高了其隱蔽挖礦行動的效率。
熱門遊戲被用作誘餌
此次攻擊依賴將威脅安裝程式偽裝成知名遊戲的合法副本。用作誘餌的遊戲包括 BeamNG.drive、Garry's Mod、Dyson Sphere Program、Universe Sandbox 和 Plutocracy。威脅行為者早在 2024 年 9 月就將這些木馬安裝程式上傳到種子網站,表明該行動是經過精心策劃的。
受感染的安裝程式觸發隱密攻擊鏈
毫無戒心的用戶在下載這些所謂的「重新包裝」時,會看到看似標準的安裝過程。在安裝過程中,一個隱藏的投放器檔案(「unrar.dll」)在背景部署並執行,從而啟動感染的下一個階段。
高階逃避技術的應用
在繼續之前,植入程序會執行多次檢查,以確保它不在虛擬化或沙盒環境中運行,從而展示其複雜的逃避能力。然後,它會聯絡外部服務(例如 api.myip.com、ip-api.com 和 ipwho.is)來收集 IP 位址並確定使用者位置。如果此步驟失敗,系統將被分配一個預設位置中國或白俄羅斯,原因尚不清楚。
複雜的多階段執行流程
一旦對機器進行指紋識別,植入程式就會解密並執行另一個名為「MTX64.exe」的元件。該可執行檔將其內容儲存為系統目錄中的「Windows.Graphics.ThumbnailHandler.dll」。基於合法開源專案 EpubShellExtThumbnailHandler,此執行檔濫用 Windows Shell 擴充功能來載入下列有效載入「Kickstarter」。
Kickstarter 元件提取了加密資料 blob,並將其以「Unix.Directory.IconHandler.dll」的名稱寫入使用者 AppData 目錄內的一個隱藏資料夾中的磁碟。然後,這個新檔案從包含實際的加密貨幣礦工的遠端伺服器檢索最後階段的有效負載。
隱密礦工部署和流程監控
礦工的執行受到嚴密監控以避免被發現。它不斷檢查系統監控工具,如任務管理器(“taskmgr.exe”)和進程監視器(“procmon.exe”)。一旦檢測到其中任何一個過程,礦工就會立即終止以逃避審查。
XMRig 針對選擇性挖礦進行了調整
此次行動的核心是XMRig礦機的定製版本。它僅在具有至少八個核心的 CPU 上激活,以確保受感染的機器具有足夠的處理能力來有效地進行挖掘。此外,攻擊者不依賴公共採礦池,而是建立了自己的私人伺服器,將採礦利潤專門引導到他們的基礎設施。
XMRig 利用其內建功能來解析命令列指令,同時維護單獨的執行緒來檢查主動監控工具。這種持久的自我防禦機制有助於隱藏使用者的挖礦活動。
帶有俄羅斯線索的神秘威脅
儘管這次行動規模龐大、複雜程度高,但實施者的身分仍未知。然而,研究人員發現該活動的組件中嵌入了俄語字串,這表明攻擊可能源自講俄語的威脅行為者。
StaryDobry 活動強調了從未經驗證的來源下載軟體的風險。透過利用遊戲安裝程式作為誘餌,網路犯罪分子成功部署了隱藏的礦工,同時保持在受感染系統上的隱密存在。這一事件強調了在線購買軟體時謹慎的重要性,因為威脅行為者不斷改進他們的欺騙手段。
