Ձեր վստահելի աղբյուրը

«Կասպերսկի» ընկերության փորձագետները հայտնաբերել են SilentCryptoMiner մայների տարածման անսովոր արշավ: Վարակման բարդ շղթայի հետ բախվել են օգտատերեր աշխարհի մի քանի երկրներում, այդ թվում՝ Բելառուսում, Հնդկաստանում, Ուզբեկստանում և Ղազախստանում: Կիբեռգրոհների ամենամեծ բաժինը գրանցվել է Ռուսաստանում։ 

Այս արշավի տարբերակիչ առանձնահատկությունն այն է, որ չարագործներն օգտագործել են մի քանի անսովոր տեխնիկա՝ օգտատերերի համակարգերում հայտնաբերումը շրջանցելու ու այնտեղ ամրապնդվելու, այդ թվում՝ SIEM համակարգի  բաց կոդով Wazuh ագենտը տեղադրելու համար։ Մասնագետները նշում են, որ վնասաբեր արշավն այսօր շարունակում է արդիական մնալ։

Ընկերության փորձագետները պարզաբանում են, որ SilentCryptoMiner-ը բաց սկզբնական կոդով թաքնված մայներ է, որն օգտագործում է վարակված սարքի հզորությունը կրիպտոարժույթի թաքնված մայնինգի համար: Հայտնաբերված սխեմայում խոսքը Monero և Zephyr կրիպտոարժույթների մասին է: Գրոհողները տարածել են SilentCryptoMiner-ը կեղծ կայքերի միջոցով, որտեղ, իբր, կարելի էր անվճար ներբեռնել, օրինակ, uTorrent, MS Excel, MS Word, Minecraft, Discord։ Չարագործները նաև մի քանի Telegram ալիքներ են վարել կրիպտոարժույթ ունեցողների և չիթերի օգտատերերի համար։ Դրանք առաջարկել են բեռնել թեմատիկ ԾԱ, որի քողի տակ մարդու սարքում հայտնվում էր թաքնված մայներ։ Բացի այդ, վնասաբեր ծրագիրը տարածվել է YouTube-ի միջոցով՝ հավանաբար կոտրած տարբեր հաշիվներից հրապարակված բազմաթիվ անգլիալեզու հոլովակների հետ միասին: Տեսահոլովակների նկարագրության մեջ և մեկնաբանություններում տեղադրվել են կեղծ ռեսուրսների հղումներ։

Իրեն անհրաժեշտ հավելվածը տեղադրելու համար օգտատերը պետք է ներբեռներ ZIP արխիվ,  որտեղ, իբր, անհրաժեշտ ԾԱ-ն էր։ Ներսում MSI ֆայլ էր (Windows-ում ծրագրեր տեղադրելու համար) և TXT փաստաթուղթ՝ ծրագրի տեղադրման համար գաղտնաբառով և հրահանգով: Նախքան ծրագրի գործարկումը խորհուրդ էր տրվում անջատել հակավիրուսային լուծումը։ Ընդ որում՝ մարդը չէր ստանում իր փնտրած ծրագիրը։ Դրա փոխարեն սարքում տեղադրվում էր վնասաբեր ԾԱ։

Վարակման բազմաստիճան շղթայի արդյունքում օգտատիրոջ սարք ներթափանցում էր վնասաբեր սկրիպտ՝ SilentCryptoMiner-ի հետ միասին: Հայտնաբերված արշավի տարբերակիչ առանձնահատկությունն էր չարագործների կողմից SIEM-ի (իրադարձությունների մոնիտորինգի համակարգ) Wazuh ագենտի կիրառումը։ Նման տեխնիկան ուղղված էր պաշտպանական լուծումներով հայտնաբերումը շրջանցելուն և օգտատերերի սարքերում ամրապնդվելուն։ Բացի այդ, SIEM համակարգը չարագործներին հնարավորություն էր տալիս ստանալ հեռավար հասանելիություն վարակված սարքին, տվյալներ հավաքել և ուղարկել  իրենց հրամանների սերվեր։  

Օգտագործելով վնասաբեր ծրագիրը, որը գրոհողներին թույլ էր տալիս զոհի սարքում տեղադրել մայներ՝ չարագործները կարող էին նաև տեղեկություններ հավաքել համակարգչի և օգտատիրոջ անվան, ՕՀ-ի տարբերակի և ճարտարապետության, պրոցեսորի անվանման, գրաֆիկական պրոցեսորի և տեղադրված հակավիրուսային ԾԱ-ի տվյալների մասին: Այս տվյալներն ուղարկվել են գրոհողների Telegram բոտ։ Այդ վնասաբեր ԾԱ-ի որոշ մոդիֆիկացիաներ կարողանում էին ուղարկել աշխատասեղանի արտապատկերը, մյուսները՝ բրաուզերում տեղադրել ընդլայնում, որը թույլ է տալիս կեղծով փոխարինել կրիպտոդրամապանակները:

««Կասպերսկի» ընկերության հերթափոխային վիրուսային վերլուծաբանների թիմը հաճախ է բախվում տարբեր մասշտաբների կիբեռսպառնալիքների։ Նկարագրված արշավը մեր ուշադրությունը գրավեց այդ թվում տեխնիկական բարդության պատճառով։ Հանուն թաքնված մայնինգի միջոցով շահույթ կորզելու նպատակի գրոհողներն օգտագործել են առաջ անցած տեխնիկաների շղթա։ Առավել անսովոր տարրերից մեկը սովորաբար օգտատերերի պաշտպանության համար օգտագործվող լուծման՝ SIEM համակարգի Wazuh ագենտի կիրառումն էր»,- մեկնաբանում է «Կասպերսկի» ընկերության կիբեռանվտանգության փորձագետ Ալեքսանդր Կրյաժևը: