Librarian Ghouls黑客团伙的加密货币劫持事件
Librarian Ghouls黑客团伙已经侵入数百台俄罗斯设备,利用这些设备进行加密货币挖矿。这一行为被认为是一起典型的加密劫持事件,网络安全公司Kaspersky在周一的报告中表示。该黑客组织也被称为Rare Werewolf,他们通过伪装成合法组织的带有恶意软件的网络钓鱼电子邮件来获取系统访问权限,这些电子邮件表面上看似官方文件或付款指令。
在进行加密挖矿之前,黑客首先会侦查被攻击设备的信息;一旦计算机感染恶意软件,黑客便会建立远程连接并禁用安全系统,例如Windows Defender。
攻击模式与策略
受感染的设备被编程为在凌晨1点启动挖矿程序,并在凌晨5点关闭。黑客利用这一时间段进一步建立未经授权的远程访问,并窃取用户的登录凭据。Kaspersky表示:
“我们的评估是,攻击者使用这种技术来掩盖他们的踪迹,使用户意识不到他们的设备已经被劫持。”
随后,黑客会窃取登录凭据,并收集关于设备可用RAM、CPU核心数和GPU的信息,以便在部署加密矿工之前进行最佳配置。在挖矿过程中,黑客每60秒向挖矿池发送一次请求。
受害者与影响
Kaspersky称:“我们观察到攻击者不断完善他们的战术,不仅涵盖数据窃取,还包括部署远程访问工具和使用网络钓鱼网站实施电子邮件账户的攻陷。”
2024年持续的加密劫持活动自去年12月以来持续进行,已影响尤其是工业企业和工程学院的数百名俄罗斯用户,同时白俄罗斯和哈萨克斯坦也有额外的受害者被报告。
黑客组织的背景与目的
虽然尚未确定该组织的起源,但Kaspersky表示,这些网络钓鱼电子邮件“用俄语撰写,并包含有俄文文件名的压缩文件,以及俄语的诱饵文档。”他们指出:“这表明,这场活动的主要目标很可能是俄语用户。”
Kaspersky还推测,Librarian Ghouls可能是一群黑客行动者,他们通过黑客攻击作为一种公民不服从的形式来宣传自己的政治议程。这主要是因为他们使用的策略与类似组织的常见活动相似,例如依赖合法的第三方软件。Kaspersky指出:
“这一威胁的一个显著特征是,攻击者倾向于使用合法的第三方软件,而非开发自己的恶意程序。”
尽管目前尚不清楚该组织活跃的时间有多长,但另一家俄罗斯网络安全公司BI.ZONE在11月23日的报告中称,Rare Werewolf至少从2019年就已活跃。
