Криптоджекинг от группы хакеров Librarian Ghouls
Группа хакеров под названием Librarian Ghouls скомпрометировала сотни российских устройств, используя их для майнинга криптовалюты в рамках очевидного случая криптоджекинга, сообщает компания по кибербезопасности Kaspersky. Эта группа, также известная как Rare Werewolf, получает доступ к системам через фишинговые электронные письма с вредоносным ПО, замаскированные под сообщения от легитимных организаций, такие как официальные документы или платежные поручения.
Методы и техники атаки
После заражения компьютера вредоносным ПО хакеры устанавливают удалённое соединение и отключают системы безопасности, включая Windows Defender. По сообщению Kaspersky, зараженное устройство запрограммировано на включение в 1:00 ночи и выключение в 5:00 утра, что позволяет злоумышленникам получить несанкционированный доступ и красть учетные данные пользователей в это время.
«Мы считаем, что хакеры используют эту технику, чтобы скрыть свои действия и не вызывать подозрений у пользователя, что его устройство было захвачено,» – заявили в Kaspersky.
Затем злоумышленники крадут учетные данные и собирают информацию о доступной оперативной памяти, ядрах ЦП и графических процессорах для оптимизации криптомайнера перед его развертыванием. Пока майнер работает, хакеры поддерживают соединение с пулом для майнинга, отправляя запрос каждые 60 секунд.
Совершенствование тактик
«Мы наблюдаем, что злоумышленники постоянно совершенствуют свои тактики, охватывающие не только эксфиляцию данных, но и внедрение инструментов удалённого доступа и использование фишинговых сайтов для компрометации учетных записей электронной почты,» – отметила компания.
Кампания по криптоджекингу продолжается с 2024 года. На данный момент кампания взлома, начавшаяся в декабре, затронула сотни российских пользователей, особенно промышленных предприятий и инженерных школ, с дополнительными жертвами, зарегистрированными в Беларуси и Казахстане.
Происхождение и мотивация группы
Происхождение группы остается неизвестным; однако Kaspersky сообщила, что фишинговые письма «составлены на русском языке» и содержат архивы с русскими именами файлов, а также документы-ловушки на русском языке. Это указывает на то, что главные цели кампании, вероятно, находятся в России или говорят на русском.
Kaspersky предполагает, что Librarian Ghouls могут быть хактивистами. Она предполагает, что группа использует хакерские методы как форму гражданского неповиновения для продвижения своей политической повестки, применяя техники, которые обычно ассоциируются с подобными группами, включая использование легитимного стороннего программного обеспечения.
«Отличительной особенностью этой угрозы является то, что злоумышленники предпочитают использовать легитимное стороннее ПО, а не разрабатывать собственное вредоносное ПО,» — подчеркнули в Kaspersky.
Точно неизвестно, сколько времени группа была активна, но другая российская компания по кибербезопасности, BI.ZONE, в отчете от 23 ноября заявила, что Rare Werewolf существует, по крайней мере, с 2019 года.
