StaryDobry ataka: grėsmė išnaudoti žaidimų entuziastus
Table of Contents
Apgaulinga schema, skirta žaidėjams
StaryDobry ataka yra didelio masto kampanija, kuri panaudojo modeliavimo ir fizikos pagrindu sukurtų vaizdo žaidimų populiarumą, siekiant įsiskverbti į sistemas su paslėpta kriptovaliutų kasykle. Ši operacija, aptikta 2024 m. gruodžio 31 d., truko mėnesį ir paveikė vartotojus keliose šalyse, įskaitant Rusiją, Braziliją, Vokietiją, Baltarusiją ir Kazachstaną.
Kibernetiniai nusikaltėliai, surengę šią ataką, pasinaudojo asmenimis, ieškančiais nemokamų žaidimų atsisiuntimų, platindami pažeistus diegimo failus torrent platformose. Užkrėsti failai buvo maskuojami kaip teisėtos populiarių žaidimų, tokių kaip BeamNG.drive , Garry's Mod, Dyson Sphere Program , Universe Sandbox ir Plutocracy , kopijos, priviliodamos nieko neįtariančius vartotojus įdiegti kenkėjišką programinę įrangą.
Didelio našumo sistemų naudojimas
Pagrindinis „StaryDobry“ kampanijos tikslas buvo įdiegti kriptovaliutų gavybos programą užkrėstuose „Windows“ įrenginiuose. Pasirinktas kalnakasys XMRig yra plačiai žinomas dėl savo gebėjimo panaudoti sistemos išteklius Monero kasybai – kriptovaliutai, kurią mėgsta kibernetiniai nusikaltėliai, nes pabrėžiamas anonimiškumas.
Nukreipti dėmesį į žaidimų entuziastus buvo strateginis žingsnis, nes žaidimų kompiuteriai paprastai turi galingus procesorius, galinčius išlaikyti ilgalaikes kasybos operacijas. Siekiant maksimaliai padidinti efektyvumą, miner buvo suaktyvintas tik įrenginiuose, turinčiuose mažiausiai aštuonis procesoriaus branduolius, užtikrinant optimalų našumą ir išvengiant aptikimo mažiau galinčiuose įrenginiuose.
Daugiasluoksnė puolimo strategija
Užkrėtimo procesas prasidėjo nuo manipuliuojamų žaidimų diegimo programų, sukurtų naudojant Inno Setup. Šios diegimo programos buvo įkeltos į torrent platformas dar 2024 m. rugsėjo mėn., o tai rodo gerai suplanuotą kampaniją, skirtą pasiekti plačią auditoriją.
Naudotojams paleidus diegimo programą, buvo diskretiškai ištrauktas ir paleistas lašintuvo failas, pavadintas unrar.dll . Šiame faile buvo naudojami pažangūs metodai, siekiant išvengti aptikimo, prieš tęsiant patikrinant, ar jis veikia derinimo ar smėlio dėžės aplinkoje.
Apeidama saugumo patikras, kenkėjiška programa gavo vartotojo IP adresą ir įvertino jo geografinę vietą per išorines paslaugas. Jei šis veiksmas nepavyko, sistemos vieta buvo automatiškai nustatyta į Kiniją arba Baltarusiją, nors šio atšaukimo priežastys lieka neaiškios.
Gilaus įsiskverbimo į sistemą ir vengimo būdai
Surinkus preliminarią informaciją, ataka vyko iššifruojant kitą vykdomąjį failą MTX64.exe . Šis komponentas buvo įrašytas į sistemą pavadinimu Windows.Graphics.ThumbnailHandler.dll ir integruotas su Windows Shell Extension funkcija.
Nuo šio taško buvo įvestas papildomas vykdymo sluoksnis. Antrinė naudingoji apkrova, pavadinta Kickstarter , ištraukė užšifruotą failą ir išsaugojo jį Unix.Directory.IconHandler.dll sistemos tarptinklinio ryšio kredencialų aplanke. Šis failas palengvino ryšį su nuotoliniu komandų serveriu, kuris pristatė paskutinės pakopos naudingąją apkrovą – patį kalnakasio implantą.
Siekdama užtikrinti atkaklumą ir išvengti aptikimo, kenkėjiška programa nuolat stebėjo sistemos procesus, automatiškai nutraukdama save, jei buvo aptikta užduočių tvarkyklė ( taskmgr.exe ) arba procesų stebėjimo įrankiai ( procmon.exe ). Šie vengimo būdai žymiai sumažino tikimybę, kad saugos programinė įranga pažymės operaciją.
Individualizuota kasybos operacija
Užuot prisijungę prie viešojo kasybos baseino, užpuolikai pasirinko priglobti savo kasybos infrastruktūrą. Šis metodas leido jiems išlaikyti didesnę operacijos kontrolę ir neaiškias finansines operacijas, susijusias su neteisėta kasybos veikla.
Kai buvo suaktyvintas, kalnakasys vykdė iš anksto nustatytas komandas, kad inicijuotų kriptovaliutų kasimą, nukreipdamas skaičiavimo išteklius į Monero generavimą. Siekiant išvengti nereikalingo poveikio, joje buvo integruota stebėjimo funkcija, kuri sustabdė operacijas, jei buvo aptiktos saugos analizės priemonės.
Išpuolio pasekmės
StaryDobry kampanija pabrėžia riziką, susijusią su programinės įrangos atsisiuntimu iš neoficialių šaltinių. Nors tiesioginė pasekmė aukoms buvo neteisėtas kompiuterinių išteklių naudojimas, užsitęsus kasybos veikla gali pablogėti sistemos veikimas, padidėti energijos sąnaudos ir sutrumpėti aparatinės įrangos naudojimo trukmė.
Įmonėms neteisėtos kasybos programinės įrangos buvimas gali sutrikdyti produktyvumą, padidinti elektros sąnaudas ir sukelti papildomų grėsmių tinklams, jei užpuolikai nuspręstų išplėsti savo veiklą ne tik kasybos veikloje.
Priskyrimas ir atviri klausimai
StaryDobry atakos dalyvių tapatybė lieka nežinoma. Nors kenkėjiškų programų pavyzdžiuose buvo rasta rusų kalbos vartojimo įrodymų, nebuvo nustatyta jokio galutinio ryšio, siejančio kampaniją su žinomomis kibernetinių nusikaltėlių grupėmis.
Šis incidentas mums primena, kad grėsmės veikėjai ir toliau tobulina savo metodus, taikydami apgaulės ir vengimo būdus, kad sukompromituotų sistemas visame pasaulyje. Galimybė įsiskverbti į įrenginius per iš pažiūros nekenksmingus žaidimų atsisiuntimus išryškina besikeičiančią skaitmeninių grėsmių aplinką, o tai sustiprina vartotojų ir organizacijų informuotumo apie kibernetinį saugumą svarbą.
