Innføring
Hackergruppen Librarian Ghouls har kompromittert hundrevis av russiske enheter og brukt dem til å mine kryptovaluta i det som ser ut til å være en form for cryptojacking, ifølge cybersikkerhetsfirmaet Kaspersky.
Angrepsmetoder
Hackergruppen, også kjent som Rare Werewolf, får tilgang til systemer gjennom phishing-e-poster infisert med skadevare. Disse e-postene er utformet som meldinger fra legitime organisasjoner og ser ut som offisielle dokumenter eller betalingsordrer.
Kaspersky opplyste i en rapport mandag at hackerne begynner med å analysere informasjonsenhetene før de miner kryptovaluta. Etter at en datamaskin er infisert, etablerer hackerne en ekstern tilkobling og deaktiverer sikkerhetssystemer som Windows Defender. Den infiserte enheten er programmert til å starte opp kl. 01.00 og stenge ned kl. 05.00, noe som gir hackerne en tidsramme for å etablere uautorisert fjernkontroll.
«Vi vurderer at angriperne benytter denne teknikken for å skjule sporene sine, slik at brukeren forblir uvitende om at enheten deres har blitt kapret,» sa Kaspersky.
Hackerne stjeler innloggingsopplysninger og samler informasjon om tilgjengelig RAM, CPU-kjerner og GPU-er for å optimalt konfigurere kryptominereren før den settes i drift. Mens minereren kjører, opprettholder hackerne tilkoblingen til mining-poolen og sender en forespørsel hvert 60. sekund, ifølge Kaspersky.
«Vi observerer at angriperne kontinuerlig forbedrer taktikkene sine, som omfatter ikke bare dataeksfiltrering, men også distribusjon av verktøy for ekstern tilgang og bruk av phishing-nettsteder for å kompromittere e-postkontoer,» sa firmaet.
Omfanget av kampanjen
Cryptojacking-kampanjen har pågått siden 2024. Så langt har hackingkampanjen, som startet i desember, påvirket hundrevis av russiske brukere, spesielt blant industrielle virksomheter og ingeniørskoler, med ekstra ofre rapportert i Hviterussland og Kasakhstan.
Opprinnelsen til gruppen har ikke blitt fastslått; imidlertid bemerket Kaspersky at phishing-e-postene er komponert på russisk og inkluderer arkiver med russiske filnavn, i tillegg til dokumenter på russisk.
«Dette tyder på at de primære målene for denne kampanjen sannsynligvis er basert i Russland eller snakker russisk,» sa Kaspersky.
Mulige mål og motivasjon
Kaspersky spekulerer i at Librarian Ghouls kan være hacktivister som bruker hacking som en form for sivil ulydighet for å fremme en politisk agenda, gitt bruken av teknikker som ofte er assosiert med lignende grupper. De er kjent for å bruke legitime tredjepartsprogrammer fremfor å utvikle sine egne ondsinnede binære filer.
«En bemerkelsesverdig egenskap ved denne trusselen er at angriperne foretrekker å bruke legitime tredjepartsprogrammer,» sa Kaspersky.
Det er ukjent hvor lenge gruppen har vært aktiv, men et annet russisk cybersikkerhetsfirma, BI.ZONE, rapporterte 23. november at Rare Werewolf har vært aktiv siden minst 2019.
