Криптоджекинг‑угроза Tangerine Turkey: как USB‑черви и системные утилиты становятся оружием злоумышленников

Основой атаки является вирус‑червь, написанный на VBScript, который распространяется через съёмные USB‑накопители. При подключении заражённой флешки к компьютеру автоматически запускается вредоносный скрипт, который инициирует многоступенчатую цепочку заражения. Исследователи подчёркивают, что группа активно использует легитимные системные утилиты (LOLBins), что значительно затрудняет обнаружение атаки традиционными средствами защиты.

Начальной точкой атаки становится выполнение вредоносного VBScript через системную утилиту wscript.exe. Этот скрипт выступает в роли дроппера, который запускает пакетный файл, используя командную строку cmd.exe. Далее в дело вступает интересная тактика злоумышленников - они используют легитимную системную утилиту printui.exe, предназначенную для управления настройками печати, для подгрузки вредоносной библиотеки.

Особенностью кампании является создание поддельной системной директории с пробелом в названии, куда копируются вредоносные файлы. Эта техника маскировки позволяет файлам оставаться незамеченными, поскольку они располагаются в пути, похожем на легитимный системный каталог. Исследователи отмечают, что на этом этапе злоумышленники также пытаются отвлечь внимание пользователя, автоматически открывая окно проводника с содержимым USB‑накопителя.

Одной из ключевых техник обороны является манипуляция настройками защитника Windows. С помощью обфусцированных команд PowerShell вредонос добавляет исключения для созданной поддельной директории в Windows Defender, что фактически ослепляет систему безопасности и позволяет продолжить атаку без обнаружения.

Для обеспечения устойчивости в системе злоумышленники создают службу Windows с произвольным именем, которая ссылается на вредоносную библиотеку. Эта служба настроена на автоматический запуск и использует легитимный процесс svchost.exe для маскировки своей активности. Дополнительно создаётся запланированная задача, которая гарантирует выполнение полезной нагрузки при каждом входе пользователя в систему с наивысшими привилегиями.

Полезной нагрузкой в данной кампасии выступает XMRig - легитимное программное обеспечение для майнинга криптовалюты Monero, которое злоумышленники используют в незаконных целях. Установка майнера приводит к незаконному использованию вычислительных ресурсов организаций для генерации криптовалюты в пользу атакующих.

На завершающем этапе вредонос пытается очистить следы своей деятельности, удаляя временные файлы и предпринимая попытку удалить поддельную директорию. Исследователи отмечают, что из‑за специально добавленного пробела в пути реальная системная директория не удаляется, однако эта техника демонстрирует стремление злоумышленников затруднить анализ.

Хотя основная мотивация группы выглядит как финансовое обогащение через неавторизованный майнинг криптовалют, используемые техники представляют более серьёзную угрозу. Возможность достижения устойчивости в системе и перемещения между компьютерами создаёт основу для потенциальной эскалации атаки в будущем. Способность обходить традиционные средства защиты с помощью легитимных системных утилит делает эту угрозу особенно опасной для организаций, полагающихся на сигнатурные методы обнаружения.

Эксперты по безопасности рекомендуют организациям обратить особое внимание на контроль подключаемых USB‑устройств, мониторинг использования легитимных системных утилит, а также внедрение поведенческих методов обнаружения, способных выявить аномальную активность стандартных процессов. Регулярный аудит системных служб и запланированных задач также может помочь в своевременном обнаружении подобных угроз.

SHA256

• 4617cfd1e66aab547770f049abd937b46c4722ee33bbf97042aab77331aa6525
• 4ffb3c0c7b38105183fb06d1084ab943c6e87f9644f783014684c5cb8db32e32
• 93d74ed188756507c6480717330365cede4884e98aeb43b38d707ed0b98da7cc