网络安全公司卡巴斯基(Kaspersky)表示,Librarian Ghouls黑客组织已侵入数百台俄罗斯设备,并利用这些设备进行加密货币挖矿,这似乎是一起加密劫持(cryptojacking)案件。
该黑客组织,也被称为Rare Werewolf,通过伪装成合法组织信息的恶意软件钓鱼邮件获取系统访问权限,这些邮件看似是官方文件或付款指令,卡巴斯基在周一的报告中表示。
黑客在挖矿前侦察设备信息
在计算机感染恶意软件后,黑客会建立远程连接并禁用Windows Defender等安全系统。
被感染的设备还被编程为在凌晨1时开机,并在凌晨5时关机,黑客利用这一时间段进一步建立未经授权的远程访问并窃取登录凭据。
卡巴斯基表示:“我们评估认为,攻击者使用这种技术来掩盖他们的踪迹,使用户 unaware 他们的设备已被劫持。”
随后,他们窃取登录凭据,并收集有关设备可用RAM、CPU核心和GPU的信息,以便在部署加密货币挖矿程序前进行最佳配置。
根据卡巴斯基的说法,在挖矿程序运行期间,黑客与挖矿池保持连接,每60秒发送一次请求。
该公司表示:“我们观察到攻击者不断改进他们的策略,不仅包括数据泄露,还包括部署远程访问工具和使用钓鱼网站来破坏电子邮件账户。”
加密劫持活动自2024年以来持续进行
迄今为止,这场始于12月且仍在继续的黑客活动已影响了数百名俄罗斯用户,特别是工业企业和工程学校,同时在白俄罗斯和哈萨克斯坦也报告了其他受害者。
该组织的起源尚未确定;然而,卡巴斯基表示,钓鱼邮件“使用俄语编写,并包含带有俄语文件名的档案,以及俄语诱饵文件。”
卡巴斯基称:“这表明此次活动的主要目标可能是位于俄罗斯或讲俄语的人群。”
Librarian Ghouls可能是黑客行动主义者
卡巴斯基推测,Librarian Ghouls可能是黑客行动主义者(hacktivists),他们通过黑客行为作为一种公民不服从形式来推动政治议程,这是由于他们使用了与类似团体常用的技术,例如依赖合法的第三方工具。
卡巴斯基表示:“这一威胁的一个显著特点是,攻击者更倾向于使用合法的第三方软件,而不是开发自己的恶意二进制文件。”
目前尚不清楚该组织活跃了多久,但另一家俄罗斯网络安全公司BI.ZONE在11月23日的报告中表示,Rare Werewolf至少自2019年以来就已存在。