Щит становится мечом: как хакеры превращают SIEM Wazuh в оружие
NewsMaker«Лаборатория Касперского» обнаружила продвинутые атаки SilentCryptoMiner.
Специалисты «Лаборатории Касперского» выявили новую масштабную кампанию по распространению скрытого майнера SilentCryptoMiner. Атаки затронули пользователей в нескольких странах, включая Россию, Беларусь, Индию, Узбекистан и Казахстан. Наибольшее число инцидентов зафиксировано на территории РФ.
Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
SilentCryptoMiner — это скрытый майнер, который использует вычислительные мощности заражённых устройств для добычи криптовалют, таких как Monero и Zephyr. Распространение майнера осуществлялось через поддельные сайты, предлагающие бесплатное скачивание популярных программ, таких как uTorrent, MS Excel, MS Word, Minecraft и Discord.
Кроме того, злоумышленники вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Также зафиксировано распространение зловреда через YouTube - вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описаниях к роликам и в комментариях размещались ссылки на фальшивые ресурсы.
Для установки майнера пользователям предлагалось скачать архив, внутри которого находился MSI-файл для Windows и текстовый документ с паролем и инструкциями. В некоторых случаях пользователям советовали отключить антивирусные программы перед установкой. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате сложной цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM Wazuh.. Эта техника нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
Используя зловред, который позволял атакующим установить на устройство жертвы майнер, злоумышленники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, названии процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот, контролируемый атакующими. Некоторые версии вредоносного ПО могли также делать скриншоты рабочего стола или устанавливать расширения для браузера, которые использовались для подмены криптовалютных кошельков.
Специалисты «Лаборатории Касперского» выявили новую масштабную кампанию по распространению скрытого майнера SilentCryptoMiner. Атаки затронули пользователей в нескольких странах, включая Россию, Беларусь, Индию, Узбекистан и Казахстан. Наибольшее число инцидентов зафиксировано на территории РФ.
Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
SilentCryptoMiner — это скрытый майнер, который использует вычислительные мощности заражённых устройств для добычи криптовалют, таких как Monero и Zephyr. Распространение майнера осуществлялось через поддельные сайты, предлагающие бесплатное скачивание популярных программ, таких как uTorrent, MS Excel, MS Word, Minecraft и Discord.
Кроме того, злоумышленники вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Также зафиксировано распространение зловреда через YouTube - вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описаниях к роликам и в комментариях размещались ссылки на фальшивые ресурсы.
Для установки майнера пользователям предлагалось скачать архив, внутри которого находился MSI-файл для Windows и текстовый документ с паролем и инструкциями. В некоторых случаях пользователям советовали отключить антивирусные программы перед установкой. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате сложной цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM Wazuh.. Эта техника нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
Используя зловред, который позволял атакующим установить на устройство жертвы майнер, злоумышленники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, названии процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот, контролируемый атакующими. Некоторые версии вредоносного ПО могли также делать скриншоты рабочего стола или устанавливать расширения для браузера, которые использовались для подмены криптовалютных кошельков.