Главная страница » Индикаторы компрометации
0
23 часа
Индикаторы компрометации

Криптомайнеры атакуют корейские интернет-кафе через ПО для управления

security

Лаборатория ASEC выявила целевую кампанию против корейских интернет-кафе, действующую с 2024 года. Злоумышленники внедряют майнер T-Rex, эксплуатируя легитимное ПО для учёта времени клиентов. Способ первоначального проникновения неизвестен, но атаки сконцентрированы на системах с установленным софтом управления кафе.

Описание

Механика атаки

Основной инструмент - модифицированный Gh0st RAT китайского происхождения (открытый код C. Rufus Security Team). Он маскируется под cmd.exe в папках управляющего ПО, например: %ProgramFiles% (x86)\********\**\*****\cmd.exe.

Через RAT злоумышленники загружают «Patcher», который сканирует память процессов ПО кафе, ищет специфические шаблоны и патчит их для устойчивости майнера. Финал атаки - установка GPU-майнера T-Rex в скрытые пути:

  • %ProgramFiles% (x86)\Windows NT\mmc.exe,
  • %ProgramFiles% (x86)\Windows NT\syc.exe.

Mайнер использует игровые видеокарты для добычи Ethereum и RavenCoin.

Тактика сокрытия

Для блокировки конкурирующих майнеров и средств защиты (включая софт против порно/азартных сайтов) применяется KillProc. Он убивает процессы вроде phoenixminer.exe, *****guard_s.exe, geekminer.exe, а также легитимные chrome.exe или conhost.exe. В редких случаях вредонос проникает и на ПК посетителей через клиентскую часть ПО кафе.

Риски и атрибуция

Атаки приводят к снижению производительности GPU, сбоям биллинга из-памяти манипуляций с памятью ПО и утечкам данных через функции Gh0st RAT (кейлоггинг, скриншоты). ASEC связывает кампанию с китаеязычными хакерами из-за сигнатуры "Level" в C2-трафике (вместо стандартной "Gh0st") и использования исходников китайской команды. Производитель ПО для кафе уже блокирует вредоносные процессы, но атаки продолжаются.

Рекомендации

Мониторьте запуск cmd.exe из папок управляющего ПО, проверяйте директорию Windows NT\ на наличие несанкционированных mmc.exe/tnt.exe, анализируйте сетевой трафик на сигнатуру "Level". Критична установка обновлений ПО для кафе — злоумышленники меняют пути внедрения после его апдейтов.

Индикаторы компрометации

IPv4

  • 103.25.19.32
  • 113.21.17.102
  • 115.23.126.178
  • 121.147.158.132
  • 122.199.149.129

URLs

  • http://112.217.151.10/config.txt
  • http://112.217.151.10/mm.exe
  • http://112.217.151.10/pms.exe
  • http://112.217.151.10/statx.exe
  • http://121.67.87.250/3.exe

MD5

  • 04840bb2f22c28e996e049515215a744
  • 0b05b01097eec1c2d7cb02f70b546fff
  • 142b976d89400a97f6d037d834edfaaf
  • 15ba916a57487b9c5ceb8c76335b59b7
  • 15d6f2a36a4cd40c9205e111a7351643
Комментарии: 0
Похожие записи
0
7 дней
Индикаторы компрометации

Группировка Larva-25004, связанная с северокорейскими хакерами Kimsuky, использует поддельные сертификаты для распространения вредоносного ПО

security
Специалисты AhnLab Security Intelligence Center (ASEC) обнаружили новую киберкампанию, в которой злоумышленники применяют цифровой сертификат компании Nexaweb Inc.
0
12 дней
Индикаторы компрометации

Резкий рост распространения инфостилеров в апреле 2025 года: StealC и LummaC2 атакуют через взломанный софт

Stealer
В апреле 2025 года злоумышленники активно распространяли инфостилеры, маскируя их под взломанное ПО (кряки, ключи и т. д.). Согласно отчету AhnLab Security Intelligence Center (ASEC), основными угрозами