Майнер SilentCryptoMiner уклоняется
от обнаружения с помощью
агента SIEM-
системыWazuh
Майнер SilentCryptoMiner уклоняется от обнаружения с помощью агента
SIEM-системы Wazuh
Мария Нефедова
только что
Комментарии
3
Рекомендуем почитать:
Xakep #304. IP-камеры на пентестах
Содержание выпуска
Подписка на «Хакер» -60%
Операторы SilentCryptoMiner используют агент SIEM-системы Wazuh (опенсорсное
решение для мониторинга событий) для обхода детектирования и закрепления на
устройствах пользователей, предупредили в «Лаборатории Касперского• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского». С такими
атаками столкнулись пользователи в нескольких странах мира, в том числе в
Беларуси• Беларусь, Индии, Узбекистане• Узбекистан и Казахстане• Республика Казахстан. Наибольшая активность
SilentCryptoMiner была зафиксирована в России• Россия.
Как можно понять из названия, SilentCryptoMiner представляет собой скрытый
майнер, который использует мощности зараженных систем для добычи криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта
(в изученных атаках речь шла о Monero• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта » Monero и Zephyr).
Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы
можно было бесплатно скачать, такой софт, как uTorrent, MS Excel, MS Word• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Текстовые редакторы » Текстовые процессоры » Microsoft Word
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Прикладное программное обеспечение » Текстовые редакторы » Текстовые процессоры » Microsoft Word
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Текстовые редакторы » Текстовые процессоры » Microsoft Word
• Объект организация » Организации по алфавиту » Организации на Ма » Microsoft » Microsoft Office » Microsoft Word и
Discord или такие игры, как Minecraft. При этом хакеры активно продвигали эти
сайты, и в итоге те отображались на первых строчках поисковой выдачи
«Яндекса».
Также хакеры вели несколько Telegram-каналов• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Telegram (мессенджер)
• Коммуникации » Интернет-коммуникации » Программы мгновенного обмена сообщениями » Telegram (мессенджер) для владельцев криптокошельков и
пользователей читов• Отдых, развлечения » Развлекательные игры » Компьютерная игра » Механизмы компьютерных игр » Чит-код. В них предлагалось скачать тематическое ПО, под видом
которого на устройство жертвы и попадал вредонос.
Кроме того, малварь распространялась на YouTube — через множество англоязычных
видео, опубликованных с различных аккаунтов (предположительно взломанных). В
описании и комментариях к роликам размещались ссылки на вышеупомянутые
поддельные ресурсы и Telegram-каналы• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Telegram (мессенджер)
• Коммуникации » Интернет-коммуникации » Программы мгновенного обмена сообщениями » Telegram (мессенджер).
Полагая, что загружают нужный им, жертвы скачивали ZIP-архив• Архивоведение » Документоведение » Архивное дело » Архив
• Архивоведение » Документоведение » Архив, в котором
находился файл MSI и TXT-документ с паролем для установки программы и
инструкцией. Никакого софта в архиве• Архивоведение » Документоведение » Архивное дело » Архив
• Архивоведение » Документоведение » Архив, разумеется, не было, а до запуска
программы рекомендовалось отключить антивирус и Windows Defender• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Защитник Windows
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Антишпионские программы » Защитник Windows
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Защитник Windows
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Защитник Windows
• Безопасность » Компьютерная безопасность » Антишпионские программы » Защитник Windows. После этого,
в ходе многоступенчатой цепочки заражения, в систему жертвы устанавливался
вредоносный скрипт и SilentCryptoMiner.
Главной особенностью обнаруженной кампании являлось применение агента SIEM
(системы для мониторинга событий) Wazuh. Хакеры использовали эту технику для
уклонения от обнаружения защитными решениями и для закрепления на устройствах
пользователей. Также SIEM-система давала злоумышленникам возможность получить
удаленный контроль над зараженным устройством, собирать телеметрию и
передавать ее на управляющий сервер.
Так, с помощью малвари, которая позволяла установить на машину жертвы майнер,
хакеры могли собрать информацию об имени компьютера• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер и пользователя, версии и
архитектуре ОС, названии процессора• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Процессор
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Процессор, данных о графическом процессоре• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Графический процессор
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Графический процессор и
установленном антивирусном ПО. Вся эта информация в итоге передавалась
Telegram• Коммуникации » Интернет-коммуникации » Интернет-сообщество » Социальные сети » Telegram (мессенджер)
• Коммуникации » Интернет-коммуникации » Программы мгновенного обмена сообщениями » Telegram (мессенджер)-боту атакующих.
Отмечается, что некоторые модификации вредоноса также могли делать скриншоты
рабочего стола и устанавливать расширение для браузера, которое позволяло
подменять криптокошельки.
«Хотя основная цель злоумышленников — извлечь прибыль путем скрытной добычи
криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта на устройствах жертв, некоторые модификации вредоносного ПО могут
совершать дополнительные вредоносные действия, например подменять адреса
криптовалютных• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта кошельков в буфере обмена• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Буфер обмена
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Буфер обмена и делать скриншоты», — предупреждают
специалисты.