Копания по добычи Monero с использование стенографии

Специалисты вирусной лаборатории компании «Доктор Веб» обнаружили активную кампанию, использующую вредоносное ПО для майнинга криптовалюты Monero.

Описание

В кампании используется ряд вредоносных цепочек, в том числе скрипты, внедренные в файлы изображений BMP. Кампания, вероятно, началась в 2022 году с обнаружения скрипта VBscript под названием Services.exe. Этот скрипт действует как бэкдор, связываясь с сервером злоумышленников и выполняя скрипты и файлы. С помощью скрипта под названием ubr.txt злоумышленники проверяют наличие ранее установленных майнеров на взломанных машинах и заменяют их на версии, предпочитаемые злоумышленниками. Эти вредоносные файлы содержат майнер SilentCryptoMiner и его настройки.

Чтобы избежать обнаружения, злоумышленники маскируют файлы майнера под различные программы, такие как приложения для видеозвонков Zoom или службы Windows.

Независимо от названий файлов, все вредоносные файлы выполняют одни и те же задачи: удаляют другие майнеры, устанавливают новый майнер и доставляют обновления. Майнер также обращается к домену getcert[.]net, чтобы получить файл m.txt, содержащий настройки майнера. Позже злоумышленники изменили свою методику атаки, применив инструменты стеганографии для сокрытия своих действий. Стеганография позволяет незаметно скрыть одну часть информации внутри другой, например, спрятать информацию в изображении. Такая модификация атаки говорит о том, что использование стеганографии для обхода защитных систем может стать популярным в будущем.

Самая новая цепочка в кампании включает троян Amadey, который запускает сценарий PowerShell для загрузки изображений BMP с сайта imghippo.com. Используя стеганографические алгоритмы, троян извлекает из изображений два исполняемых файла: стилер Trojan.PackedNET.2429 и полезную нагрузку, выполняющую различные действия, включая отключение повышения уровня UAC, отключение уведомлений Windows и создание новой задачи. Во время выполнения этих действий происходит обращение к доменам злоумышленника, а их DNS TXT-записи содержат ссылку на последующую полезную нагрузку. Полезная нагрузка загружается и распаковывается из архива BMP-изображений. Эта полезная нагрузка включает в себя сценарии PowerShell, которые удаляют другие майнеры, извлекают полезную нагрузку из изображений (а это майнер SilentCryptoMiner и его инжектор) и считывают TXT-запись DNS, содержащую ссылку на полезную нагрузку.

Кампания постоянно развивается, используя легальные ресурсы для размещения вредоносных изображений и платформу GitHub для хранения полезной нагрузки. Модули майнера постоянно обновляются, в них добавляются функции, проверяющие наличие среды «песочницы» или виртуальной машины. Эта кампания демонстрирует способность злоумышленников адаптироваться и использовать обширные технологии для майнинга криптовалют и уклонения от обнаружения.

Indicators of Compromise

IPv4

• 95.216.99.206

Domains

• asobimo.link
• buyclients.xyz
• filenav.net
• getcert.net
• images.zip
• ipv4object.net
• myownservice.duckdns.org
• txtc.cloud
• txtcatch.com
• txtkey.online
• validip.net
• validip.online
• validssl.net
• validssl.online
• windowscdn.site

URLs

• http://myownservice.duckdns.org:8000/mclient.txt
• http://validssl.online/m.txt
• https://asobimo.link/asom-uninstaller.rdp
• https://asobimo.link/checkubr.txt
• https://asobimo.link/ec.rdp
• https://asobimo.link/ec-uninstaller.rdp
• https://asobimo.link/marosa.txt
• https://asobimo.link/mc.rdp
• https://asobimo.link/mc-uninstaller.rdp
• https://asobimo.link/S32.rdp
• https://asobimo.link/S32-uninstaller.rdp
• https://asobimo.link/S64.rdp
• https://asobimo.link/S64-uninstaller.rdp
• https://asobimo.link/ubr.txt
• https://asobimo.link/updater.rdp
• https://asobimo.link/updatere-uninstaller.rdp
• https://asobimo.link/updater-uninstaller.rdp
• https://asobimo.link/updaterx.rdp
• https://asobimo.link/updaterx-uninstaller.rdp
• https://asobimo.link/updaterx-uninstaller2.rdp
• https://asobimo.link/xz.rdp
• https://asobimo.link/xz-uninstaller.rdp
• https://asobimo.link/ZE.rdp
• https://asobimo.link/ZE-uninstaller.rdp
• https://asobimo.link/ZX.rdp
• https://asobimo.link/ZX-uninstaller.rdp
• https://asobimo.link/ZX-uninstaller2.rdp
• https://drive.usercontent.google.com/download?id=1zGHGEpbLq7I1p90YFn70ZaZU3v1YyLNz&export=download
• https://getcert.net/assignmentbmp.zip
• https://getcert.net/Images.zip
• https://getcert.net/m.txt
• https://github.com/torpedo0x/
• https://i.imghippo.com/files/GGV9604Lg.Bmp
• https://i.imghippo.com/files/iBrq9443HWk.Bmp
• https://i.imghippo.com/files/jlj5300oyU.Bmp
• https://i.imghippo.com/files/NkKm6518aVQ.Bmp
• https://i.imghippo.com/files/RRqb3512Vb.Bmp
• https://i.imghippo.com/files/set5912PyY.Bmp
• https://i.imghippo.com/files/vitY7320btA.Bmp
• https://ia601208.us.archive.org/31/items/images_20231226_0815/Images.zip
• https://ipv4object.net/Cleaner.txt
• https://ipv4object.net/licence
• https://ipv4object.net/m.txt
• https://ipv4object.net/Metamorph.txt
• https://ipv4object.net/MetaNev.txt
• https://ipv4object.net/MetaWeb.txt
• https://ipv4object.net/Net.txt
• https://pastebin.com/raw/9UHQkGec
• https://txtc.cloud/m.txt
• https://txtcatch.com/archive/link.txt

SHA1

• 0f05fbb257fc71ba649175b92fcd963ff23a2540
• 146ba5563eff1627f9fcc45e26b95d89b0f64c8c
• 1d46a948eabbaa85fede43fd50a49ad820e96833
• 283b170573316d0e693a9e66006b1634a3f6d021
• 2e8dd0a66cc86f307a3782d6b7f98e48d1eb36b9
• 2f7d0fb9c9b622953746ac0ceaac0e8331230483
• 3208c2d40e9feeebf2669985d63d79005cf8fce7
• 33ccea79ddcf7d22fbc1ddd9945f353eb4981ca9
• 385a72bede84c9c44b84b2f044ca77e440be0802
• 4b583d399d16bf174938daaefbcce7b8a15e0413
• 4ff6a0b7ec138e855f13d0f52bb77014bd406d70
• 5dc6c820290bfdb094f0c6e46ae33a9b46f41583
• 60c5cc8e93ddf35d006a36b0be8e3b68c1ee809b
• 636c8a9736ef2c6ee894a5d32e76fc4d74600794
• 6d371a964488b7b505514a1f266b56982b38442e
• 6d8716cddc3ca6c8558eb4f842d81638f00f01f8
• 74487ebea9aa3d83dd68204bafd2027264c1b15b
• 7764945007b03d746b0b0108144a15eb9112a2f8
• 7fae2f61eb513411a536544d87ce9559a351af90
• 87a2b37aa36ff0ce60e0f5d13e4b27b61e596353
• 8d791539be6a22eec6ab612e427a3c9bbe7e1daa
• 8de8e5474c5d0f638ce56e0db758b8bec675f762
• 8e8dac022a03310da15d4c2ecd57a19c7f077ed3
• 90e473b93ce0ff3ee2e9fb13a138843a8dda40a3
• 99111907b50911f9b2853cd73b373d231ab92f79
• 9cd084897729ef3ade0c0b02da1414f89b24c9aa
• a7b09c73aa9ddd6a6a535eed2a2598697ad8a5be
• a92da5e57a8e50ec1b4e8d3b029f5b2150bc3f27
• a9e15b26115ff8e999d9e313ec4b7e0b6d37939e
• aaef9da0c976797717a93c6b48b9cc672d6f06bb
• b72aad9ae8022bc932a6989544edc76936afe498
• b8b0c2732ed6366c3ce8f0efa891f229d29244b0
• c0895d0123a92f56db2940df44042e102b77e47d
• c0a29d4e74d39308a50f4fd21d0cca1f98cb02c1
• c16fdeef67fd747eb82db6cc9a4a68fda2cd4dec
• d355dff37ed85f6d0d84eb9f42dd1fe7c02537bb
• d387755c90b43047ff649949e52fe7204b721009
• df660ed3a9ebae8a727529984562d98872452167
• e40d372c7f9637ed83a3961035e8910c3731fc7d
• f5329857be92d3b70e85481026963991bd9c1feb
• f7d890de0931d733d6d0a37c36bb00f0f1cc0b91