«
Лаборатория Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского»
обнаружила продвинутые
атаки SilentCryptoMiner
«Лаборатория Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского» обнаружила продвинутые атаки SilentCryptoMiner
Информация о материале 2024-10-17 14:56 Просмотров: 13
Атакующие используют агент SIEM-системы Wazuh — решения для мониторинга
событий с открытым исходным кодом• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение — для обхода детектирования и закрепления на
устройствах пользователей.
Эксперты «Лаборатории Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского» обнаружили необычную кампанию по
распространению майнера SilentCryptoMiner. Со сложной цепочкой заражения
столкнулись пользователи в нескольких странах мира, в том числе в Беларуси,
Индии, Узбекистане• Узбекистан и Казахстане• Республика Казахстан. Отличительной особенностью этой кампании
является то, что злоумышленники использовали несколько необычных техник для
обхода детектирования и закрепления в системах пользователей, в том числе
установку агента SIEM-системы с открытым исходным кодом• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение Wazuh. Специалисты
отмечают, что вредоносная кампания остается актуальной на сегодняшний день.
SilentCryptoMiner — скрытый майнер с открытым исходным кодом• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение, который
использует мощности зараженного устройства для майнинга криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта. В
обнаруженной экспертами схеме речь шла о криптовалютах• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта Monero• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта » Monero и Zephyr.
Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы
можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word• Объект организация » Организации по алфавиту » Организации на Ма » Microsoft » Microsoft Office » Microsoft Word
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Прикладное программное обеспечение » Текстовые редакторы » Текстовые процессоры » Microsoft Word
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Текстовые редакторы » Текстовые процессоры » Microsoft Word
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Текстовые редакторы » Текстовые процессоры » Microsoft Word,
Minecraft, Discord. Злоумышленники также вели несколько Telegram-каналов• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Telegram (мессенджер)
• Коммуникации » Интернет-коммуникации » Программы мгновенного обмена сообщениями » Telegram (мессенджер) для
владельцев криптокошельков и пользователей читов. В них предлагалось скачать
тематическое ПО, под видом которого на устройство человека попадал скрытый
майнер. Помимо этого, зловред распространялся через YouTube• Объект организация » Организации по алфавиту » Организации на Yo » YouTube — вместе с
множеством англоязычных видео• Объект организация » Организации по алфавиту » Организации на Yo » YouTube, опубликованных с различных аккаунтов, вероятно
взломанных. В описании к роликам и в комментариях размещались ссылки на
поддельные ресурсы.
Чтобы установить нужное ему приложение, пользователь должен был скачать
ZIP-архив• Архивоведение » Документоведение » Архивное дело » Архив
• Архивоведение » Документоведение » Архив. В нем якобы было необходимое ПО. Внутри находился MSI• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Установщик Windows
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Установщик Windows
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Установщик Windows-файл (для
инсталляции приложений на Windows• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows), и TXT-документ с паролем для установки
программы и инструкцией. Стоит отметить, что до запуска программы
рекомендовалось отключить антивирусное решение. При этом программу, которую
человек искал, он не получал. Вместо нее на устройство устанавливалось
вредоносное ПО.
В результате многоступенчатой цепочки заражения на устройство пользователя
проникал вредоносный скрипт• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки вместе с SilentCryptoMiner. Отличительной
особенностью обнаруженной кампании являлось применение злоумышленниками агента
SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на
обход детектирования защитными решениями и на закрепление на устройствах
пользователей. К тому же SIEM-система давала злоумышленникам возможность
получить удаленный контроль над зараженным девайсом• Электроника » Гаджеты, собирать телеметрию и
отправлять ее на их командный сервер.
Используя зловред, который позволял атакующим установить на устройство жертвы
майнер, злоумышленники также могли собирать информацию об имени компьютера• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер и
пользователя, версии и архитектуре ОС, названии процессора• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Процессор
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Процессор, данных о
графическом процессоре• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Графический процессор
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Графический процессор и установленном антивирусном ПО. Эти данные
отправлялись в Telegram• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Telegram (мессенджер)
• Коммуникации » Интернет-коммуникации » Программы мгновенного обмена сообщениями » Telegram (мессенджер)-бот атакующих. Также некоторые модификации
вредоносного ПО могли отправлять скриншот рабочего стола, другие —
устанавливать расширение для браузера, позволяющее подменять криптокошельки.
«Команда сменных вирусных аналитиков „Лаборатории Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского” часто
сталкивается с киберугрозами• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность различного масштаба. Описанная кампания привлекла
наше внимание в том числе из-за технической сложности. Атакующие ради свой
цели — извлечения прибыли путем скрытого майнинга — использовали цепочку
продвинутых техник. Одним из наиболее необычных элементов оказалось применение
решения, которое обычно используется для защиты пользователей — агента
SIEM-системы Wazuh», — комментирует Александр Кряжев, эксперт по
кибербезопасности• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность в «Лаборатории Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского».
Продукты «Лаборатории Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского» детектируют вредоносное ПО, использующееся
в рамках кампании, следующими вердиктами: HEUR:Trojan-Dropper.OLE2.Agent.gen,
HEUR:Trojan.BAT• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл.Agent.gen, HEUR:Trojan.VBS.Agent.gen, Trojan.Script• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки.AutoIt• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » AutoIt
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » AutoIt
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » AutoIt.ak,
Trojan.BAT• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл.Agent.cix, Trojan.BAT• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Пакетный файл.Miner.id, HEUR:Trojan.Multi.Agent.gen,
PDM:Trojan.Win32.Generic.
Чтобы защититься от скрытого майнинга и других киберугроз• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность, эксперты
рекомендуют:
· скачивать приложения только из официальных источников (магазинов приложений
или с сайтов компаний-разработчиков);
· использовать надежное защитное решение, эффективность которого
подтверждается независимыми тестовыми лабораториями, например Kaspersky• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского
Premium, и ни в коем случае не отключать его при скачивании файлов.
* Данные на основе анонимизированной статистики срабатывания решений
«Лаборатории Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского» летом 2024 года.
Источник: «Лаборатория Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского»