HackerNews 编译,转载请注明出处:
特洛伊木马式游戏安装程序在大规模 StaryDobry 攻击中部署加密货币矿工,卡巴斯基将这一大规模活动命名为 StaryDobry,该活动于 2024 年 12 月 31 日首次被检测到,持续了一个月。此次攻击的目标是全球的个人和企业,卡巴斯基的遥测数据显示,俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦的感染浓度较高。
研究人员塔季扬娜·什什科娃(Tatyana Shishkova)和基里尔·科尔切米尼(Kirill Korchemny)在周二发布的一份分析报告中表示:“这种方法帮助威胁行为者充分利用了矿工植入,目标是强大的游戏机,这些机器能够维持挖矿活动。”
此次 XMRig 加密货币矿工活动利用了流行的模拟和物理游戏,如 BeamNG.drive、Garry’s Mod、Dyson Sphere Program、Universe Sandbox 和 Plutocracy,作为诱饵发起复杂的攻击链。这包括在 2024 年 9 月将使用 Inno Setup 制作的被投毒的游戏安装程序上传到各种种子网站,表明活动背后的不明威胁行为者精心策划了这些攻击。
下载这些发布版本(也称为“重打包”)的用户会看到一个安装程序界面,提示他们继续进行安装过程,在此过程中会提取并执行一个投放器(“unrar.dll”)。
该 DLL 文件在确定是否在调试或沙盒环境中运行后才会继续执行,这表明其具有高度的规避行为。随后,它会查询多个网站,如 api.myip [.]com、ip-api [.]com 和 ipwho [.]is,以获取用户的 IP 地址并估算其位置。如果这一步失败,国家默认为中国或白俄罗斯,原因尚不清楚。
下一阶段涉及收集机器的指纹信息,解密另一个可执行文件(“MTX64.exe”),并将其内容写入磁盘上的文件 “Windows.Graphics.ThumbnailHandler.dll”,该文件位于 %SystemRoot% 或 %SystemRoot%\Sysnative 文件夹中。
基于一个名为 EpubShellExtThumbnailHandler 的合法开源项目,MTX64 通过加载下一阶段的有效载荷(一个名为 Kickstarter 的便携式可执行文件),修改了 Windows Shell Extension Thumbnail Handler 功能,以谋取自身利益,然后解包嵌入其中的加密数据块。
该数据块与前一步类似,被写入磁盘,文件名为 “Unix.Directory.IconHandler.dll”,位于文件夹 %appdata\Roaming\Microsoft\Credentials%InstallDate%\ 中。
新创建的 DLL 被配置为从远程服务器获取最终阶段的二进制文件,该服务器负责运行矿工植入,同时还会持续检查运行进程列表中的 taskmgr.exe 和 procmon.exe。如果检测到这些进程中的任何一个,该工件将立即终止。
该矿工是一个经过轻微修改的 XMRig 版本,使用预定义的命令行在具有 8 个或更多核心的 CPU 上启动挖矿过程。“如果少于 8 个,矿工不会启动,”研究人员表示。“此外,攻击者选择在他们自己的基础设施中托管挖矿池服务器,而不是使用公共服务器。”
“XMRig 使用其内置功能解析构建的命令行。矿工还会创建一个单独的线程来检查系统中运行的进程监控器,使用的方法与前一阶段相同。”由于缺乏可以将其与任何已知犯罪软件行为者联系起来的指标,StaryDobry 仍未被归因。尽管如此,样本中的俄语字符串表明可能存在说俄语的威胁行为者。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
