Хакерская группа Librarian Ghouls атакует россиян для майнинга криптовалют
Компания по кибербезопасности Kaspersky утверждает, что хакерская группа Librarian Ghouls, также известная как Rare Werewolf, взломала сотни российских устройств и использовала их для майнинга криптовалют в рамках кампании, которую можно классифицировать как криптоджекинг.
Специалисты по кибербезопасности отметили, что злоумышленники рассылали фишинговые письма, замаскированные под официальные сообщения от реальных организаций. Эти письма выглядели как документы или платежные поручения, что помогало им заражать устройства пользователей.
Злоумышленники могут получить доступ к устройству, использовать его вычислительную мощность и заниматься майнингом криптовалют.
Хакеры собирают данные перед майнингом
После инфильтрации системы хакеры устанавливали удалённый доступ и отключали средства безопасности, такие как Защитник Windows.
Инфицированные устройства запрограммированы на включение в 1 час ночи и выключение в 5 часов утра, чтобы злоумышленники могли использовать это время для установки дополнительных компонентов и сбора данных для входа.
«По нашей оценке, злоумышленники используют эту технику, чтобы замести следы и скрыть факт вторжения», — пишет Kaspersky.
Затем хакеры собирали информацию об объёме оперативной памяти, количестве ядер процессора и графических адаптерах, чтобы оптимально настроить майнер перед его запуском. Во время работы майнера они поддерживали соединение с майнинговым пулом, отправляя запросы каждые 60 секунд.
«Мы наблюдаем, что злоумышленники постоянно совершенствуют свою тактику, включая не только кражу данных, но и использование удалённого доступа и фишинговых сайтов для получения учетных записей электронной почты», — заявила компания.
Кампания по криптоджекингу продолжается с 2024 года
Эта кампания началась в декабре прошлого года и продолжается до сих пор. Пострадавшими стали сотни российских пользователей, особенно в промышленных предприятиях и технических вузах. Также были зафиксированы жертвы в Беларуси и Казахстане .
Происхождение группы пока остаётся неизвестным, однако эксперты обратили внимание, что фишинговые письма составлены на русском языке, содержат архивы с русскими названиями файлов и поддельные документы на русском.
«Это говорит о том, что основными целями этой кампании, скорее всего, являются российские пользователи или те, кто говорит на русском», — пишет Kaspersky.
Группа может быть хактивистской
Kaspersky предполагает, что Librarian Ghouls может быть не просто группой киберпреступников, а потенциально хактивистами, так как они применяют тактики, характерные для таких движений — например, использование легитимного стороннего ПО вместо собственных вредоносных программ.
«Отличительной чертой этой угрозы является то, что злоумышленники предпочитают использовать легитимное стороннее программное обеспечение, а не разрабатывать собственные вредоносные двоичные файлы», — пояснила компания.
Точное время начала деятельности группы неизвестно. Однако российская фирма по кибербезопасности BI.ZONE сообщила в отчёте от 23 ноября, что Rare Werewolf существует как минимум с 2019 года .
Источник:
