Rare Werewolf kampány Oroszországban
A Librarian Ghouls (más néven Rare Werewolf vagy Rezet) egy APT-csoport, amely Oroszországban és FÁK országokban vett célba szervezeteket. A csoport az XMRig szoftvert – a kriptopénz bányászatára szolgáló legitim eszközt – telepíti az áldozatok eszközeire – közölték a Kaspersky orosz kiberbiztonsági cég kutatói. A kampány több száz orosz felhasználót érintett, különösen ipari vállalatokat és mérnöki iskolákat, illetve további áldozatokról számoltak be Fehéroroszországból és Kazahsztánból.
A Kaspersky szerint a támadók orosz nyelven írt adathalász e-mailekkel szerzik meg a kezdeti hozzáférést. Ezek az e-mailek jelszóval védett archívumokat tartalmaznak rosszindulatú futtatható fájlokkal, és jellemzően legitim szervezetektől érkező üzeneteknek álcázva, hivatalos dokumentumoknak vagy fizetési megbízásoknak tűnnek.
A rendszerbe bejutva a kiberszereplők ellopják a bejelentkezési adatokat, és telepítik az XMRig-et, hogy az áldozatok számítási teljesítményét felhasználva kriptopénzt bányásszanak. A csoport egy újszerű módszert is alkalmaz a hozzáférés fenntartására és a felfedezés elkerülésére: a fertőzött eszközöket úgy programozzák, hogy naponta hajnali 5 órakor kikapcsoljanak. A leállás előtt egy szkript hajnali 1 órakor elindítja a Microsoft Edge-et, hogy felébressze a számítógépet, így a támadóknak négy óra áll rendelkezésükre a távoli hozzáférés létrehozására.
A támadók információkat gyűjtenek a rendelkezésre álló CPU-magokról és GPU-król a kriptobányász optimális konfigurálásához, és ezeket az adatokat elküldik a szervereikre. A blogban ismertetett kampány rosszindulatú funkcióit parancsfájlok és PowerShell szkriptek segítségével valósítják meg.
A Rare Werewolf a korábbi jelentések szerint legalább 2019 óta aktív. A csoport jellemzően legitim harmadik féltől származó szoftverekre és segédprogramokra támaszkodik, ahelyett, hogy saját rosszindulatú eszközöket fejlesztene a támadások végrehajtásához. A csoport eredetét egyelőre nem sikerült azonosítani.
A Kaspersky szerint a jelenlegi kampány 2024 decemberében kezdődött, és a múlt hónapban még tartott, amely időszak alatt a támadók folyamatosan finomítják a taktikájukat. A csoport a kriptovaluta-bányászat mellett a korábbi kampányaikban érzékeny dokumentumok és jelszavak megszerzésére, valamint Telegram fiókok kompromittálására is összpontosított.
