Хакерская группа Librarian Ghouls взломала сотни российских устройств и использует их для майнинга криптовалюты в явном случае криптоджекинга, сообщает кибербезопасная компания Kaspersky.
Хакерская группа, также известная как Rare Werewolf, получает доступ к системам через вредоносные фишинговые электронные письма, замаскированные под сообщения от легитимных организаций, которые выглядят как официальные документы или платежные поручения, говорится в отчете Kaspersky, опубликованном в понедельник.
Хакеры собирают информацию об устройстве перед майнингом
После заражения компьютера вредоносным ПО, хакеры устанавливают удаленное соединение и отключают системы безопасности, такие как Windows Defender.
Зараженное устройство также программируется на включение в 1 час ночи и выключение в 5 утра, при этом хакеры используют этот временной промежуток для дальнейшего установления несанкционированного удаленного доступа и кражи учетных данных для входа.
«Мы полагаем, что злоумышленники используют эту технику, чтобы замести следы, чтобы пользователь оставался не в курсе того, что его устройство было взломано», — заявили в Kaspersky.
Затем они крадут учетные данные для входа и собирают информацию о доступной оперативной памяти, количестве ядер процессора и графических процессорах устройства, чтобы оптимально настроить криптомайнер перед его развертыванием.
Пока работает майнер, хакеры поддерживают соединение с майнинг-пулом, отправляя запрос каждую 60 секунд, сообщает Kaspersky.
«Мы наблюдаем, что злоумышленники постоянно совершенствуют свои тактики, охватывая не только кражу данных, но и развертывание инструментов удаленного доступа и использование фишинговых сайтов для компрометации учетных записей электронной почты», — заявила компания.
Криптоджекинг-кампания продолжается с 2024 года
На данный момент хакерская кампания, начавшаяся в декабре и продолжающаяся, затронула сотни российских пользователей, особенно промышленные предприятия и инженерные школы, также сообщается о дополнительных жертвах в Беларуси и Казахстане.
Происхождение группы не установлено; однако Kaspersky заявила, что фишинговые электронные письма «составлены на русском языке и включают архивы с русскими именами файлов, а также русскоязычные обманные документы».
«Это говорит о том, что основными целями этой кампании, вероятно, являются люди, находящиеся в России или говорящие на русском языке», — заявили в Kaspersky.
Librarian Ghouls могут быть хактивистами
Kaspersky предполагает, что Librarian Ghouls могут быть хактивистами, которые используют хакинг как форму гражданского неповиновения для продвижения политической повестки дня, из-за использования методов, обычно связанных с подобными группами, таких как зависимость от легитимного программного обеспечения сторонних разработчиков.
«Отличительной особенностью этой угрозы является то, что злоумышленники предпочитают использовать легитимное программное обеспечение сторонних разработчиков, а не разрабатывать свои собственные вредоносные двоичные файлы», — заявили в Kaspersky.
Неизвестно, как долго группа активна, но другая российская компания, специализирующаяся на кибербезопасности, BI. ZONE заявила в отчете от 23 ноября, что Rare Werewolf существует как минимум с 2019 года.
