Nhóm Hacker Librarian Ghouls và Chiến Dịch Cryptojacking
Nhóm hacker Librarian Ghouls đã xâm nhập vào hàng trăm thiết bị của người dùng Nga và lợi dụng chúng để tiến hành khai thác tiền điện tử (cryptojacking), theo thông tin từ công ty an ninh mạng Kaspersky. Nhóm hacker này, còn được biết đến với tên gọi Rare Werewolf, đã truy cập vào hệ thống thông qua các email lừa đảo chứa mã độc, được ngụy trang dưới dạng thông điệp từ những tổ chức hợp pháp và trông như các tài liệu chính thức hoặc lệnh thanh toán.
Kaspersky cho biết trong một báo cáo vào thứ Hai: “Các hacker thường tìm hiểu thông tin về thiết bị trước khi khai thác.”
Khi một máy tính bị nhiễm mã độc, các hacker thiết lập kết nối từ xa và vô hiệu hóa các hệ thống bảo mật như Windows Defender. Thiết bị bị nhiễm cũng được lập trình để tự động hoạt động từ 1 giờ sáng đến 5 giờ sáng, khoảng thời gian này được các hacker sử dụng để thiết lập quyền truy cập từ xa không hợp pháp và thu thập thông tin đăng nhập.
Kaspersky cho biết: “Đánh giá của chúng tôi cho thấy các kẻ tấn công sử dụng kỹ thuật này để che giấu dấu vết, nhằm để người dùng không nhận ra rằng thiết bị của họ đã bị chiếm đoạt.”
Họ cũng đánh cắp thông tin đăng nhập và thu thập thêm thông tin về RAM có sẵn, các lõi CPU và GPU của thiết bị để tối ưu hóa cấu hình cho máy khai thác tiền điện tử trước khi thực hiện việc khai thác.
Trong khi máy khai thác hoạt động, các hacker duy trì kết nối với pool khai thác, gửi yêu cầu mỗi 60 giây.
“Chúng tôi nhận thấy các kẻ tấn công không ngừng tinh chỉnh chiến thuật của họ, bao gồm cả việc rò rỉ dữ liệu và triển khai các công cụ truy cập từ xa, bên cạnh việc sử dụng các trang lừa đảo để đánh cắp tài khoản email,” công ty này cho biết.
Ảnh Hưởng Đến Người Dùng Nga và Các Nước Khác
Chiến dịch cryptojacking này bắt đầu từ năm 2024, đến nay đã ảnh hưởng đến hàng trăm người dùng Nga, đặc biệt là trong các doanh nghiệp công nghiệp và trường kỹ thuật. Nhiều nạn nhân cũng được báo cáo ở Belarus và Kazakhstan. Nguồn gốc của nhóm vẫn chưa được xác định; tuy nhiên, Kaspersky cho biết các email lừa đảo được “soạn thảo bằng tiếng Nga”, bao gồm các tệp lưu trữ có tên bằng tiếng Nga, cùng với các tài liệu gây nhầm lẫn cũng bằng tiếng Nga.
Kaspersky cho biết: “Điều này cho thấy các mục tiêu chính của chiến dịch này chủ yếu là người dùng ở Nga hoặc những người nói tiếng Nga.”
Dự Đoán về Librarian Ghouls
Kaspersky suy đoán rằng Librarian Ghouls có thể thuộc về nhóm hacktivist, những người sử dụng hacking như một hình thức bất tuân dân sự nhằm thúc đẩy một chương trình chính trị. Điều này là do việc sử dụng các kỹ thuật thường thấy ở những nhóm tương tự, chẳng hạn như sử dụng phần mềm hợp pháp của bên thứ ba. “Một điểm đáng chú ý trong mối đe dọa này là các kẻ tấn công ưa chuộng sử dụng phần mềm hợp pháp của bên thứ ba hơn là phát triển mã độc riêng của họ,” Kaspersky cho biết.
Mặc dù chưa rõ nhóm này đã hoạt động bao lâu, nhưng một công ty an ninh mạng Nga khác, BI.ZONE, trong một báo cáo vào ngày 23 tháng 11, cho biết Rare Werewolf đã tồn tại ít nhất từ năm 2019.
