Atak StaryDobry: Zagrożenie wykorzystujące entuzjastów gier
Table of Contents
Oszukańczy schemat mający na celu graczy
Atak StaryDobry to kampania na szeroką skalę, która wykorzystała popularność gier wideo opartych na symulacji i fizyce, aby zinfiltrować systemy za pomocą ukrytego górnika kryptowalut. Wykryta 31 grudnia 2024 r. operacja trwała miesiąc i wpłynęła na użytkowników w wielu krajach, w tym w Rosji, Brazylii, Niemczech, Białorusi i Kazachstanie.
Cyberprzestępcy stojący za tym atakiem wykorzystali osoby poszukujące darmowych gier do pobrania, dystrybuując zainfekowane pliki instalacyjne na platformach torrent. Zainfekowane pliki podszywały się pod legalne kopie popularnych gier, takich jak BeamNG.drive , Garry's Mod, Dyson Sphere Program , Universe Sandbox i Plutocracy , wabiąc niczego niepodejrzewających użytkowników do instalowania złośliwego oprogramowania.
Wykorzystanie systemów o wysokiej wydajności
Głównym celem kampanii StaryDobry było wdrożenie programu do wydobywania kryptowaluty na zainfekowanych komputerach z systemem Windows. Wybrany górnik, XMRig , jest szeroko znany ze swojej zdolności do wykorzystywania zasobów systemowych do wydobywania Monero, kryptowaluty preferowanej przez cyberprzestępców ze względu na nacisk na anonimowość.
Celowanie w entuzjastów gier było posunięciem strategicznym, ponieważ komputery do gier zazwyczaj posiadają wydajne procesory zdolne do podtrzymywania długotrwałych operacji wydobywczych. Aby zmaksymalizować wydajność, górnik aktywował się tylko na maszynach z co najmniej ośmioma rdzeniami procesora, zapewniając optymalną wydajność przy jednoczesnym uniknięciu wykrycia na mniej wydajnych urządzeniach.
Wielowarstwowa strategia ataku
Proces infekcji rozpoczął się od zmanipulowanych instalatorów gier stworzonych przy użyciu Inno Setup. Instalatory te zostały przesłane na platformy torrentowe już we wrześniu 2024 r., co sugeruje dobrze zaplanowaną kampanię mającą na celu dotarcie do szerokiego grona odbiorców.
Gdy użytkownicy uruchomili instalator, plik droppera o nazwie unrar.dll został dyskretnie wyodrębniony i wykonany. Ten plik wykorzystywał zaawansowane techniki, aby uniknąć wykrycia, sprawdzając, czy działa w środowisku debugowania lub piaskownicy przed kontynuowaniem.
Po ominięciu kontroli bezpieczeństwa złośliwe oprogramowanie pobrało adres IP użytkownika i oszacowało jego lokalizację geograficzną za pomocą usług zewnętrznych. Jeśli ten krok się nie powiódł, lokalizacja systemu była automatycznie ustawiana na Chiny lub Białoruś, chociaż uzasadnienie tego powrotu pozostaje niejasne.
Głęboka infiltracja systemu i techniki unikania
Po zebraniu wstępnych informacji atak postępował poprzez odszyfrowanie innego pliku wykonywalnego, MTX64.exe . Ten komponent został zapisany w systemie pod nazwą Windows.Graphics.ThumbnailHandler.dll i zintegrowany z funkcjonalnością rozszerzenia powłoki systemu Windows.
Od tego momentu wprowadzono dodatkową warstwę wykonania. Drugi ładunek o nazwie Kickstarter wyodrębnił zaszyfrowany plik i zapisał go w Unix.Directory.IconHandler.dll w folderze poświadczeń wędrownych systemu. Ten plik ułatwiał komunikację ze zdalnym serwerem poleceń, który dostarczał ładunek ostatniego etapu — sam implant górnika.
Aby zapewnić trwałość i uniknąć wykrycia, malware stale monitorowało procesy systemowe, automatycznie kończąc działanie, jeśli wykryto menedżera zadań ( taskmgr.exe ) lub narzędzia do monitorowania procesów ( procmon.exe ). Te techniki unikania znacznie zmniejszyły prawdopodobieństwo, że oprogramowanie zabezpieczające oznaczy operację.
Dostosowana operacja górnicza
Zamiast łączyć się z publicznym poolem górniczym, atakujący zdecydowali się na hostowanie własnej infrastruktury górniczej. To podejście pozwoliło im zachować większą kontrolę nad operacją i ukryć transakcje finansowe związane z nielegalną działalnością górniczą.
Po aktywacji górnik wykonywał wstępnie zdefiniowane polecenia, aby zainicjować wydobywanie kryptowaluty, kierując zasoby obliczeniowe w stronę generowania Monero. Aby zapobiec niepotrzebnemu narażeniu, zawierał wbudowaną funkcję monitorowania, która zatrzymywała operacje, jeśli wykryto narzędzia do analizy bezpieczeństwa.
Konsekwencje ataku
Kampania StaryDobry podkreśla ryzyko związane z pobieraniem oprogramowania z nieoficjalnych źródeł. Podczas gdy bezpośrednią konsekwencją dla ofiar było nieautoryzowane korzystanie z zasobów komputerowych, przedłużona aktywność górnicza może obniżyć wydajność systemu, zwiększyć zużycie energii i skrócić żywotność sprzętu.
W przypadku przedsiębiorstw obecność nieautoryzowanego oprogramowania do wydobywania kryptowalut może zakłócić wydajność pracy, zwiększyć koszty energii elektrycznej oraz narazić sieci na dodatkowe zagrożenia, jeśli atakujący postanowią rozszerzyć swoją działalność poza działalność wydobywczą.
Atrybucja i pytania otwarte
Tożsamość osób stojących za atakiem StaryDobry pozostaje nieznana. Podczas gdy dowody na używanie języka rosyjskiego zostały znalezione w próbkach złośliwego oprogramowania, nie ustalono żadnego ostatecznego powiązania łączącego kampanię ze znanymi grupami cyberprzestępców.
Ten incydent przypomina nam, że aktorzy zagrożeń nadal udoskonalają swoje metody, stosując techniki oszustwa i unikania, aby naruszyć systemy na całym świecie. Możliwość infiltracji urządzeń za pomocą pozornie nieszkodliwych pobrań gier podkreśla ewoluujący krajobraz zagrożeń cyfrowych, wzmacniając znaczenie świadomości cyberbezpieczeństwa wśród użytkowników i organizacji.
