StaryDobry 攻擊：利用遊戲愛好者的威脅

針對遊戲玩家的欺騙計劃

StaryDobry 攻擊是一項大規模活動，利用模擬和基於實體的視訊遊戲的流行度，使用隱藏的加密貨幣礦工滲透系統。這次攻擊於 2024 年 12 月 31 日被發現，持續了一個月，影響了俄羅斯、巴西、德國、白俄羅斯和哈薩克等多個國家的用戶。

這次攻擊背後的網路犯罪分子透過在 torrent 平台上分發受感染的安裝文件，利用了個人尋求免費遊戲下載的需求。受感染的文件偽裝成BeamNG.drive 、Garry's Mod、 Dyson Sphere Program 、 Universe Sandbox和Plutocracy等熱門遊戲的合法副本，誘騙毫無戒心的用戶安裝惡意軟體。

利用高效能係統

StaryDobry 活動的主要目標是在受感染的 Windows 機器上部署加密貨幣挖礦程式。所選的礦工XMRig因其利用系統資源進行門羅幣挖礦的能力而廣為人知，門羅幣是一種因強調匿名性而受到網路犯罪分子青睞的加密貨幣。

瞄準遊戲愛好者是一個策略性舉措，因為遊戲電腦通常擁有強大的處理器，能夠維持長時間的挖礦操作。為了最大限度地提高效率，該礦機僅在具有至少八個 CPU 核心的機器上激活，以確保最佳性能，同時避免在性能較差的設備上被發現。

多層攻擊策略

感染過程始於使用 Inno Setup 製作的操縱遊戲安裝程式。這些安裝程式早在 2024 年 9 月就被上傳到 torrent 平台，這表明這是一場精心策劃的活動，旨在覆蓋廣泛的受眾。

一旦使用者啟動安裝程序，就會秘密提取並執行一個名為unrar.dll的植入檔案。該文件採用了先進的技術來逃避檢測，在繼續運行之前會檢查它是否在調試或沙盒環境中運行。

在繞過安全檢查後，惡意軟體會擷取使用者的 IP 位址並透過外部服務估計其地理位置。如果此步驟失敗，系統的位置將自動設定為中國或白俄羅斯，儘管這種恢復背後的原因尚不清楚。

深度系統滲透與逃避技術

在收集初步資訊後，攻擊繼續進行，解密另一個可執行檔MTX64.exe 。此元件以Windows.Graphics.ThumbnailHandler.dll的名稱寫入系統，並與 Windows Shell 擴充功能整合。

從這一點開始，引入了額外的執行層。名為Kickstarter 的二級有效載荷提取了一個加密文件，並將其保存在系統漫遊憑證資料夾內的Unix.Directory.IconHandler.dll下。該文件促進了與遠端命令伺服器的通信，並傳送了最後階段的有效載荷——挖礦程序本身。

為了確保持久性並避免被偵測到，該惡意軟體會持續監視系統進程，如果偵測到工作管理員（ taskmgr.exe ）或進程監視工具（ procmon.exe ），則自動終止自身。這些逃避技術大大降低了安全軟體標記該操作的可能性。

客製化採礦作業

攻擊者沒有連接到公共挖礦池，而是選擇託管自己的挖礦基礎設施。這種方法使他們能夠更好地控制採礦作業，並掩蓋與非法採礦活動有關的金融交易。

一旦激活，礦工就會執行預先定義的命令來啟動加密貨幣挖掘，將計算資源引導至門羅幣的生成。為了防止不必要的暴露，它包含一個內建監控功能，如果偵測到安全分析工具，就會停止操作。

襲擊的影響

StaryDobry 活動強調了從非官方來源下載軟體的風險。雖然受害者的直接後果是未經授權使用運算資源，但長期挖礦活動可能會降低系統效能、增加能耗並縮短硬體壽命。

對於企業而言，如果攻擊者決定將業務擴展到採礦活動之外，未經授權的採礦軟體的存在可能會破壞生產力，增加電力成本，並使網路面臨更多威脅。

歸因和未決問題

StaryDobry 襲擊事件的幕後黑手身份仍不清楚。雖然在惡意軟體樣本中發現了使用俄語的證據，但尚未建立將該活動與已知網路犯罪集團聯繫起來的明確聯繫。

這事件提醒我們，威脅行為者不斷改進其方法，採用欺騙和逃避技術來破壞全球系統。透過看似無害的遊戲下載即可滲透到設備中，這凸顯了數位威脅日益嚴峻的形勢，也凸顯了用戶和組織機構的網路安全意識的重要性。