Эксперты Ahnlab выявили новую волну атак на домашние компьютерные залы через установку майнеров
Аналитический центр безопасности Ahnlab (ASEC) подтвердил серию кибератак, направленных на компьютерные залы, где злоумышленники устанавливают майнеры криптовалют. Атаки связаны с вредоносным программным обеспечением и осуществляются с 2022 года, при этом активизация наблюдается во второй половине 2024 года. Особое внимание уделяется системам, интегрированным с программами управления компьютерными залами, что облегчает контроль рабочего времени и платежей клиентов.
Механизм атаки: GH0ST RAT и методы обхода защиты
В центре инфраструктуры атаки находится троянец удаленного доступа (RAT) GH0ST RAT, который, как выяснили эксперты, разработан китайской службой безопасности C. Rufus. Вредоносное ПО служит для полный контроль над скомпрометированными системами. Злоумышленники обычно используют дропперы с обфускацией через Themida или MPRESS, чтобы скрыть установку GH0ST RAT и сопутствующих модулей.
- После выполнения, GH0ST RAT загружается в память и становится устойчивым, регистрируясь как системная служба.
- Получает команды от сервера управления (C&C), что позволяет злоумышленникам управлять заражёнными машинами удалённо.
- Обладает широким функционалом: управление файлами, кейлоггинг, создание скриншотов.
- Для обмена данными используется уникальная строка подписи с надписью «Level», которая маскирует реальное имя вредоносной программы — GH0ST.
Цель атаки — майнинг криптовалют на игровых системах
Конечной целью злоумышленника является установка майнера T-Rex для добычи криптовалют, таких как Ethereum и Ravencoin. Эта программа идеально подходит для высокопроизводительных игровых компьютеров, часто используемых в компьютерных залах.
- Майнер устанавливается с помощью последовательного изменения путей установки, что помогает избегать детектирования, особенно после обновления программ управления.
- Вредоносный код активно ищет и завершает процессы конкурирующих майнеров, устраняя потенциальные риски для собственной деятельности.
Рекомендации по защите и противодействию угрозам
Аналитики ASEС подчёркивают, что атаки демонстрируют целенаправленную стратегию борьбы с домашними компьютерными залами, использующими специфическое программное обеспечение для управления. Для снижения рисков необходимо соблюдать комплексные меры безопасности:
- Регулярно обновлять операционные системы и программное обеспечение управления компьютерными залами.
- Проводить упреждающий мониторинг известных Indicators of Compromise (IOCs), связанных с GH0ST RAT и майнерами.
- Внедрять системы обнаружения вторжений и антивирусные решения с поддержкой обнаружения обфусцированной и скрытой активности.
- Обучать администраторов и персонал принципам кибербезопасности и оперативным методам реагирования на инциденты.
В свете роста угроз, связанных с использованием майнеров и RAT-вредоносных программ в сфере управления компьютерными залами, повышение уровня защиты остается приоритетом для всех участников рынка, — подчеркивают эксперты Ahnlab.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ атак с GH0ST RAT и майнерами в домашних компьютерных залах".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.