Compromission des Dispositifs Russes par Librarian Ghouls
Le groupe de hackers Librarian Ghouls a compromis des centaines de dispositifs russes pour miner de la cryptomonnaie dans un cas apparent de cryptojacking, selon la société de cybersécurité Kaspersky. Ce groupe, également connu sous le nom de Rare Werewolf, accède aux systèmes via des courriels de phishing contenant des logiciels malveillants déguisés en messages d’organisations légitimes, tels que des documents officiels ou des ordres de paiement.
Mécanisme d’Infection et d’Exploitation
Les hackers examinent les informations des dispositifs avant de se lancer dans le minage. Après qu’un ordinateur soit infecté par le malware, les hackers établissent une connexion à distance et désactivent les systèmes de sécurité, comme Windows Defender.
L’appareil infecté est également programmé pour s’allumer à 1 heure du matin et s’éteindre à 5 heures du matin, profitant de cette période pour établir un accès à distance non autorisé et voler des identifiants de connexion.
« Nous pensons que les attaquants utilisent cette technique pour couvrir leurs traces, afin que l’utilisateur ne se rende pas compte que son appareil a été détourné»
, a déclaré Kaspersky.
Ils volent ensuite les identifiants de connexion et collectent également des informations sur la RAM disponible, les cœurs de CPU et les GPU de l’appareil, afin de configurer de manière optimale le mineur de cryptomonnaie avant de le déployer.
Maintien de l’Accès et Impact
Pendant que le mineur fonctionne, les hackers maintiennent une connexion au pool de minage, envoyant une requête toutes les 60 secondes.
« Nous constatons que les attaquants affinent continuellement leurs tactiques, englobant non seulement l’exfiltration de données, mais également le déploiement d’outils d’accès à distance et l’utilisation de sites de phishing pour compromettre les comptes de messagerie»,
a déclaré la firme.
Cette campagne de cryptojacking, qui est en cours depuis 2024, a déjà affecté des centaines d’utilisateurs russes, en particulier au sein des entreprises industrielles et des écoles d’ingénierie, avec des victimes supplémentaires signalées en Biélorussie et au Kazakhstan. L’origine du groupe n’a pas été établie ; cependant, Kaspersky a signalé que les courriels de phishing sont rédigés en russe et incluent des archives avec des noms de fichiers russes, ainsi que des documents tous factices en langue russe.
« Cela suggère que les cibles principales de cette campagne sont probablement basées en Russie ou parlent russe, »
a déclaré Kaspersky.
Profil des Hackers et Motifs Potentiels
Les Librarian Ghouls pourraient être des hacktivistes. Kaspersky suppose que les Librarian Ghouls pourraient agir en tant que hacktivistes, utilisant le hacking comme une forme de désobéissance civile pour promouvoir un agenda politique, en raison de l’utilisation de techniques couramment associées à des groupes similaires.
« Une caractéristique distinctive de cette menace est que les attaquants préfèrent utiliser des logiciels tiers légitimes, plutôt que de développer leurs propres binaires malveillants »
, a précisé Kaspersky. Il est inconnu depuis combien de temps le groupe est actif, mais une autre firme de cybersécurité russe, BI.ZONE, a déclaré dans un rapport du 23 novembre que Rare Werewolf existe au moins depuis 2019.
