Hackergruppe „Librarian Ghouls“ kompromittiert russische Geräte
Die Hackergruppe „Librarian Ghouls“ hat Hunderte von russischen Geräten kompromittiert, um Kryptowährung in einem klaren Fall von Cryptojacking zu minen, berichtet die Cybersecurity-Firma Kaspersky. Die Gruppe, die auch unter dem Namen „Rare Werewolf“ bekannt ist, gelangt durch mit Malware infizierte Phishing-E-Mails an die Systeme ihrer Opfer.
Mechanismus des Angriffs
Diese E-Mails sind als Nachrichten von legitimen Organisationen maskiert und scheinen offizielle Dokumente oder Zahlungsaufträge zu enthalten. Laut Kaspersky scannen die Hacker zunächst die Geräteinformationen, bevor sie mit dem Mining beginnen. Nach der Infektion eines Computers stellen die Angreifer eine Remote-Verbindung her und deaktivieren Sicherheitssysteme wie Windows Defender.
Die infizierten Geräte sind zudem so programmiert, dass sie um 1 Uhr morgens aktiviert und um 5 Uhr morgens wieder deaktiviert werden, um den Zeitraum für weiteren unautorisierten Zugriff und das Stehlen von Anmeldeinformationen optimal zu nutzen.
„Wir nehmen an, dass die Angreifer diese Technik verwenden, um ihre Spuren zu verwischen, sodass der Benutzer nicht merkt, dass sein Gerät kompromittiert wurde“,
erklärte Kaspersky.
Diebstahl von Anmeldeinformationen und Optimierung des Minings
Die Hacker stehlen dann Anmeldeinformationen und sammeln Informationen über den verfügbaren RAM, die CPU-Kerne und die GPUs des Geräts, um den Kryptowährungs-Miner optimal einzurichten, bevor sie ihn aktivieren. Während der Miner läuft, halten die Hacker eine permanente Verbindung zum Mining-Pool aufrecht und senden alle 60 Sekunden eine Anfrage, so Kaspersky.
Kontinuierliche Verfeinerung der Angriffe
„Wir beobachten, dass die Angreifer ihre Taktiken kontinuierlich verfeinern, was nicht nur die Datenexfiltration umfasst, sondern auch die Bereitstellung von Remote-Zugriffstools und den Einsatz von Phishing-Seiten zum Kompromittieren von E-Mail-Konten“,
fügte die Firma hinzu. Die Cryptojacking-Kampagne läuft seit 2024 und hat bisher Hunderte von russischen Nutzern betroffen, insbesondere in der Industrie und an Ingenieurschulen, wobei außerdem Opfer in Weißrussland und Kasachstan gemeldet wurden.
Herkunft und mögliche Motivation
Der Ursprung der Gruppe ist bislang unbekannt; Kaspersky hat jedoch festgestellt, dass die Phishing-E-Mails in russischer Sprache verfasst sind und Archive sowie Dokumente mit russischen Dateinamen enthalten.
„Das deutet darauf hin, dass die Hauptziele dieser Kampagne wahrscheinlich in Russland ansässig sind oder Russisch sprechen“,
bemerkte Kaspersky.
Es wird spekuliert, dass die Librarian Ghouls Hacktivisten sein könnten, die Hacking als eine Form des zivilen Ungehorsams einsetzen, um eine politische Agenda zu fördern.
Dies basiert auf der Nutzung von Techniken, die typischerweise mit ähnlichen Gruppen assoziiert werden, wie der Gebrauch legitimer Drittanbieter-Software.
„Ein markantes Merkmal dieser Bedrohung ist, dass die Angreifer eher legale Drittanbieter-Software verwenden, anstatt ihre eigenen bösartigen Programme zu entwickeln“,
sagte Kaspersky. Es ist unklar, wie lange die Gruppe bereits aktiv ist; jedoch berichtete eine andere russische Cybersecurity-Firma, BI.ZONE, in einem Bericht vom 23. November, dass Rare Werewolf seit mindestens 2019 existiert.
