ハッカーグループ「Librarian Ghouls」の活動
サイバーセキュリティ企業Kasperskyは、ハッカーグループ「Librarian Ghouls」が数百台のロシアのデバイスを侵害し、暗号通貨のマイニングに利用していると報告しています。このグループは「Rare Werewolf」としても知られており、フィッシングメールを利用してシステムにマルウェアを侵入させています。
手口と影響
Kasperskyによると、ハッカーはデバイス情報をスキャンし、感染したコンピュータにリモートで接続します。具体的には、Windows Defenderなどのセキュリティ機能を無効にし、感染したデバイスは特定の時間帯のみ稼働するようプログラムされています。これにより、ハッカーは更なる不正アクセスを確立し、ログイン資格情報を盗むのです。
「攻撃者はこの手法を使って足跡を隠し、ユーザーがデバイスがハイジャックされていることに気づかないようにしていると、我々は評価しています。」
マイニング操作とデータ盗難
感染したデバイスは、RAM、CPUコア、およびGPUに関する情報を収集し、暗号マイナーを最適に設定して展開します。マイナーが稼働している間、ハッカーはマイニングプールへの接続を維持し、60秒ごとにリクエストを送信します。Kasperskyは次のように説明しています。
「攻撃者はデータ流出を引き起こすだけでなく、リモートアクセスツールを展開し、メールアカウントを侵害するためのフィッシングサイトを使用する戦術を継続的に洗練させていることを確認しています。」
被害と対象
この暗号詐欺キャンペーンは2024年から続いており、特に産業企業や工科大学の数百人のロシアユーザーに影響を与えています。また、ベラルーシやカザフスタンでも追加の被害者が報告されています。Kasperskyは、フィッシングメールが「ロシア語で書かれており、ロシアのファイル名を持つアーカイブや偽造された文書を含んでいる」と述べ、主にロシア国内のユーザーが標的である可能性が高いと指摘しています。
ハッカーの背景と意図
Librarian Ghoulsがハクティビストであり、政治的アジェンダを推進するための市民的不服従の一形態としてハッキングを行っている可能性も指摘されています。Kasperskyは「この脅威における特筆すべき特徴は、攻撃者が自らの悪意のあるバイナリを開発するよりも、合法的なサードパーティ製ソフトウェアを使用することを好むことである」と述べています。なお、別のサイバーセキュリティ企業BI.ZONEは、Rare Werewolfが少なくとも2019年から存在していると報告しています。
