انتشار شده در تاریخ 1404/03/21 - 08:25

استخراج ارز دیجیتال از دستگاه‌های روسی

صدها دستگاه روسی مورد حملات استخراج ارز دیجیتال گروه هکری «Rare Werewolf» قرار گرفتند.

به گزارش کارگروه حملات سایبری سایبربان؛ طبق تحقیقات جدید شرکت امنیت سایبری کسپرسکی (Kaspersky)، یک گروه هکری معروف به «Rare Werewolf» در حال حمله به رایانه‌ها در سراسر روسیه و کشورهای همسایه برای استخراج مخفیانه ارز دیجیتال است.

محققان شرکت کسپرسکی گفتند که مجرمان سایبری در حال استقرار نرم‌افزار «XMRig»، ابزاری قانونی برای استخراج ارز دیجیتال، روی دستگاه‌های قربانیان هستند. این کمپین صدها کاربر روسی، به ویژه شرکت‌های صنعتی و دانشکده‌های مهندسی را هدف قرار داده و قربانیان بیشتری در بلاروس و قزاقستان گزارش شده‌اند.

کسپرسکی اعلام کرد که مهاجمان از طریق ایمیل‌های فیشینگ نوشته شده به زبان روسی، دسترسی اولیه را به دست می‌آورند. این ایمیل‌ها حاوی بایگانی‌های محافظت‌شده با رمز عبور با فایل‌های اجرایی مخرب هستند و معمولاً به عنوان پیام‌هایی از سازمان‌های قانونی پنهان می‌شوند که به نظر می‌رسد اسناد رسمی یا دستور پرداخت هستند.

پس از ورود به سیستم، هکرها اعتبارنامه‌های ورود را می‌دزدند و XMRig را برای تولید ارز دیجیتال با استفاده از قدرت محاسباتی قربانیان نصب می‌کنند. هکرها همچنین از یک روش جدید برای حفظ دسترسی و جلوگیری از شناسایی استفاده و دستگاه‌های آلوده را طوری برنامه‌ریزی می‌کنند که روزانه ساعت ۵ صبح خاموش شوند. قبل از خاموش شدن، یک اسکریپت، مایکروسافت اج را اجرا می‌کند تا کامپیوتر را بیدار کند و به مهاجمان یک فرصت 4 ساعته برای ایجاد دسترسی از راه دور می‌دهد.

در این گزارش آمده است که مهاجمان اطلاعاتی در مورد هسته‌های سی‌پی‌یو و واحدهای پردازش گرافیکی (GPU) موجود برای پیکربندی بهینه ماینر ارز دیجیتال جمع‌آوری می‌کنند و این داده‌ها به سرورهای آنها ارسال می‌شود.

طبق گزارش‌های قبلی، Rare Werewolf حداقل از سال ۲۰۱۹ فعال بوده است؛ این گروه هکری معمولاً به جای توسعه ابزارهای مخرب خود برای اجرای حملات خود، به نرم‌افزارها و ابزارهای شخص ثالث قانونی متکی است. منشأ این گروه هنوز مشخص نشده است.

کسپرسکی عنوان کرد که کمپین فعلی در دسامبر ۲۰۲۴ آغاز شده و تا ماه گذشته ادامه داشته و مهاجمان به طور مداوم تاکتیک‌های خود را اصلاح می‌کنند. گروه هکری فوق علاوه بر استخراج ارز دیجیتال، در کمپین‌های قبلی خود بر سرقت اسناد حساس، رمزهای عبور و به خطر انداختن حساب‌های پیام‌رسان تلگرام نیز تمرکز داشته است.

کسپرسکی گفت که روش‌های این گروه از جمله استفاده از بایگانی‌های خود استخراج‌کننده و ابزارهای قانونی، شبیه روش‌هایی است که اغلب با گروه‌های هکتیویستی ارتباط دارد.

XMRig به طور گسترده توسط مجرمان سایبری مورد سوء استفاده قرار گرفته که به طور مداوم روش‌های جدیدی را برای ارائه نصب‌کننده به دستگاه‌های قربانیان ابداع می‌کنند. در موارد قبلی که شرکت‌های روسی را هدف قرار می‌دادند، هکرها آن را از طریق نسخه‌های مخرب بازی‌های محبوب و کپی‌شده ارائه می‌دادند.