Шабуылдаушылар Wazuh Siem жүйесінің агентін-ашық бастапқы оқиғаларды бақылау шешімдерін — пайдаланушылардың құрылғыларында анықтау мен бекітуді айналып өту үшін пайдаланады
«Касперский зертханасының» сарапшылары SilentCryptoMiner майнерін тарату бойынша ерекше науқанды тапты. Әлемнің бірнеше елдерінде, соның ішінде Беларусь, Үндістан, Өзбекстан және Қазақстанда пайдаланушылар инфекцияның күрделі тізбегіне тап болды. Бұл науқанның айрықша ерекшелігі-шабуылдаушылар пайдаланушы жүйелерінде анықтау мен бекітуді айналып өту үшін бірнеше ерекше әдістерді қолданды, соның ішінде Wazuh ашық бастапқы SIEM жүйесінің агентін орнату. Сарапшылар зиянды науқан бүгінгі күнге дейін өзекті болып қала беретінін атап өтті.
SilentCryptoMiner — вирус жұққан криптовалюта өндіру құрылғысының қуатын пайдаланатын жасырын, ашық бастапқы майнер. Сарапшылар ашқан схемада біз Monero және Zephyr криптовалюталары туралы әңгімелестік. Шабуылдаушылар SilentCryptoMiner-ді uTorrent, MS Excel, MS Word, Minecraft, Discord сияқты ақысыз жүктеуге болатын жалған сайттар арқылы таратты. Зиянкестер сонымен қатар крипто әмиян иелері мен чит қолданушылары үшін бірнеше Telegram арналарын жүргізді. Оларға тақырыптық бағдарламаны жүктеу ұсынылды, оның астында жасырын Шахтер адамның құрылғысына түсті. Сонымен қатар, зиянды YouTube арқылы таратылды — әр түрлі аккаунттардан жарияланған көптеген ағылшын тіліндегі бейнелермен бірге бұзылған болуы мүмкін. Роликтердің сипаттамасында және түсініктемелерде жалған ресурстарға сілтемелер орналастырылды.
Қажетті қолданбаны орнату үшін пайдаланушы ZIP мұрағатын жүктеп алуы керек еді. Онда қажетті БЖ болған. Ішінде MSI файлы (Windows-та қосымшаларды орнату үшін) және бағдарламаны орнатуға арналған құпия сөзі бар TXT құжаты және нұсқаулық болды. Бағдарламаны іске қоспас бұрын антивирустық шешімді өшіру ұсынылғанын атап өткен жөн. Бұл жағдайда адам іздеген бағдарламаны ол ала алмады. Оның орнына құрылғыға зиянды БЖ орнатылды.
Көп сатылы инфекция тізбегінің нәтижесінде зиянды сценарий SilentCryptoMiner-мен бірге пайдаланушының құрылғысына еніп кетті. Анықталған науқанның айрықша ерекшелігі шабуылдаушылардың Wazuh Siem (оқиғаларды бақылау жүйесі) агентін қолдануы болды. Бұл әдіс қорғаныс шешімдерімен анықтауды айналып өтуге және пайдаланушыларды құрылғыларға бекітуге бағытталған. Сонымен қатар, SIEM жүйесі шабуылдаушыларға жұқтырған құрылғыны қашықтан басқаруға, телеметрияны жинауға және оны командалық серверге жіберуге мүмкіндік берді.
Шабуылдаушыларға жәбірленушінің құрылғысына майнер орнатуға мүмкіндік беретін зиянды бағдарламаны қолдана отырып, шабуылдаушылар компьютер мен Пайдаланушының аты, ОЖ нұсқасы мен архитектурасы, процессордың атауы, GPU деректері және антивирустық БЖ туралы ақпарат жинай алады. Бұл деректер шабуылдаушылардың Telegram ботына жіберілді. Сондай — ақ, зиянды БЖ кейбір модификациялары жұмыс үстелінің скриншотын жіберуі мүмкін, ал басқалары крипто әмияндарын ауыстыруға мүмкіндік беретін шолғыш кеңейтімін орнатуы мүмкін.
«Касперский Зертханасының ауыспалы вирустық талдаушылар тобы әртүрлі масштабтағы киберқауіптерге жиі тап болады. Сипатталған науқан техникалық күрделілігіне байланысты біздің назарымызды аударды. Өз мақсаттары үшін шабуылдаушылар — жасырын майнинг арқылы пайда табу-озық әдістер тізбегін қолданды. Ең ерекше элементтердің бірі әдетте Wazuh Siem жүйесінің агент пайдаланушыларын қорғау үшін қолданылатын шешімді қолдану болды», — деп түсіндіреді Касперский Зертханасының киберқауіпсіздік жөніндегі сарапшысы Александр Кряжев.
«Касперский Зертханасының» өнімдері науқан аясында қолданылатын зиянды БЖ келесі үкімдермен анықтайды: HEUR: Trojan-Dropper.OLE2.Agent.gen, HEUR:Trojan.BAT.Agent.gen, HEUR:Trojan.VBS.Agent.gen, Trojan.Script.AutoIt.ak, Trojan.BAT.Agent.cix, Trojan.BAT.Miner.id, HEUR:Trojan.Multi.Agent.gen, PDM:Trojan.Win32.Generic.
Жасырын майнинг жұмыстарынан және басқа киберқауіптерден қорғану үшін сарапшылар мыналарды ұсынады:
* 2024 жылдың жазында «Касперский зертханасы» шешімдерінің анонимді іске қосу статистикасына негізделген деректер.