Щит становится мечом: как хакеры превращают SIEM Wazuh в оружие

«Лаборатория Касперского» обнаружила продвинутые атаки SilentCryptoMiner.


4cyl8599f2n4uteiok7n626y21q64vfi.jpg


Специалисты «Лаборатории Касперского» выявили новую масштабную кампанию по распространению скрытого майнера SilentCryptoMiner. Атаки затронули пользователей в нескольких странах, включая Россию, Беларусь, Индию, Узбекистан и Казахстан. Наибольшее число инцидентов зафиксировано на территории РФ.

Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.

SilentCryptoMiner — это скрытый майнер, который использует вычислительные мощности заражённых устройств для добычи криптовалют, таких как Monero и Zephyr. Распространение майнера осуществлялось через поддельные сайты, предлагающие бесплатное скачивание популярных программ, таких как uTorrent, MS Excel, MS Word, Minecraft и Discord.

Кроме того, злоумышленники вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Также зафиксировано распространение зловреда через YouTube - вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описаниях к роликам и в комментариях размещались ссылки на фальшивые ресурсы.

Для установки майнера пользователям предлагалось скачать архив, внутри которого находился MSI-файл для Windows и текстовый документ с паролем и инструкциями. В некоторых случаях пользователям советовали отключить антивирусные программы перед установкой. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.

В результате сложной цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM Wazuh.. Эта техника нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.

Используя зловред, который позволял атакующим установить на устройство жертвы майнер, злоумышленники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, названии процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот, контролируемый атакующими. Некоторые версии вредоносного ПО могли также делать скриншоты рабочего стола или устанавливать расширения для браузера, которые использовались для подмены криптовалютных кошельков.