Cryptojacking ng Librarian Ghouls
Ang grupong hacker na Librarian Ghouls ay nakompromiso ng daan-daang mga device sa Russia at ginamit ang mga ito upang magmina ng cryptocurrency sa isang malinaw na kaso ng cryptojacking, ayon sa cybersecurity firm na Kaspersky. Kilala rin bilang Rare Werewolf, ang grupong ito ay nakakapasok sa mga sistema sa pamamagitan ng phishing emails na puno ng malware, na nagpapanggap bilang mga lehitimong mensahe mula sa mga opisyal na organisasyon, kabilang ang mga dokumento at mga utos sa pagbabayad.
Pagsusuri ng mga Hacker
Sinusuri ng mga hacker ang impormasyon ng device bago simulan ang pagmimina. Kapag nahawahan na ng malware ang isang computer, itinatag ng mga hacker ang isang remote connection at pinapatay ang mga sistema ng seguridad tulad ng Windows Defender. Ang mga infected devices ay nakatakdang magbukas mula alas 1 ng umaga hanggang alas 5 ng umaga, kung saan ginagamit ng mga hacker ang oras na ito upang higit pang makapagtatag ng hindi awtorisadong access at magnakaw ng mga login credentials.
Takip at Taktika
Ayon sa pagsusuri ng Kaspersky, ang mga attacker ay gumagamit ng teknikal na ito upang itago ang kanilang mga yapak, upang ang mga gumagamit ay hindi malaman na ang kanilang device ay nahijack. Kapag nakuha na ang mga login credentials, kinokolekta din nila ang impormasyon tungkol sa available na RAM ng device, CPU cores, at GPUs upang ma-optimize ang pag-set up ng crypto miner bago ito patakbuhin.
Kampanya ng Cryptojacking
Habang tumatakbo ang miner, pinanatili ng mga hacker ang koneksyon sa mining pool, na nagpapadala ng mga kahilingan tuwing 60 segundo.
“Napapansin namin na paikot-ikot na pinino ng mga attacker ang kanilang mga taktika, na kinabibilangan hindi lamang ng pagkuha ng data kundi pati na rin ng pag-deploy ng mga remote access tools at paggamit ng mga phishing site upang makompromiso ang mga email account,”
sabi ng kumpanya.
Pagsusuri sa mga Biktima
Patuloy ang kampanya ng cryptojacking mula pa noong taong 2024, kung saan ang pag-atake na nagsimula noong Disyembre ay nakaapekto sa daan-daang mga gumagamit sa Russia, partikular sa mga industral na negosyo at mga paaralan ng engineering, kasama ang karagdagang mga biktima sa Belarus at Kazakhstan. Hindi pa natutukoy ang pinagmulan ng grupo, ngunit sinabi ng Kaspersky na ang mga phishing emails ay isinulat sa Ruso at naglalaman ng mga archive na may mga pangalan ng file sa wikang Ruso, kasama ang mga dokumentong misleading sa parehong wika.
Pakay ng Grupo
“Ito ay nagpapahiwatig na ang pangunahing target ng kampanyang ito ay malamang na nakabase sa Russia o mga nagsasalita ng Ruso,”
sabi ng Kaspersky. Maaaring mga hacktivist ang Librarian Ghouls. Pinagpapalagay ng Kaspersky na ang Librarian Ghouls ay maaaring mga hacktivist, na gumagamit ng hacking bilang isang anyo ng sibil na pagsuway upang itaguyod ang isang pampulitikang layunin, batay sa kanilang paggamit ng mga teknik na karaniwang nauugnay sa mga katulad na grupo, tulad ng pag-asa sa lehitimong third-party software.
“Isang natatanging katangian ng banta na ito ay ang mga attacker ay mas pinipiling gumamit ng lehitimong third-party software sa halip na bumuo ng sarili nilang mga mapanlinlang na binaries,”
sabi ng Kaspersky. Bagamat hindi tiyak kung gaano katagal nang aktibo ang grupo, isang ulat mula sa isa pang Russian cybersecurity firm, ang BI. ZONE, ay nagsabi na ang Rare Werewolf ay umiral mula noong hindi bababa sa 2019.
