Новый вариант криптомайнера CoinMiner активизирует WMI для скрытого распространения в корпоративных сетях

Основным вектором атаки, по данным аналитиков, остается вредоносный спам (malspam). Злоумышленники рассылают письма с вложениями или ссылками, маскируя их под деловую корреспонденцию. Кроме того, CoinMiner может попадать на компьютеры в качестве вторичной полезной нагрузки (payload), будучи загруженным другим вредоносным ПО, что усложняет отслеживание первоисточника заражения.

После проникновения на первую жертву майнер задействует мощный механизм Windows Management Instrumentation (WMI). Этот инструмент администрирования предназначен для управления устройствами и приложениями в сети. Злоумышленники злоупотребляют его функционалом для горизонтального перемещения по корпоративной инфраструктуре. Используя легитимные учетные данные, скомпрометированные на начальном этапе, CoinMiner автоматически распространяется на другие компьютеры в домене. Следовательно, изолированное заражение быстро перерастает в эпидемию в пределах всей сети организации.

Для обеспечения постоянного присутствия в системе майнер применяет сложную технику. Он регистрирует постоянные задания (persistence) через подписчик событий WMI Standard Event Consumer. Этот механизм позволяет выполнять скрипты в ответ на определенные системные события, такие как запуск операционной системы. В результате вредоносный процесс автоматически перезапускается даже после перезагрузки компьютера или попыток его удаления пользователем. Таким образом, CoinMiner стремится оставаться невидимым для обычных пользователей и максимально долго использовать вычислительные ресурсы.

Стоит отметить, что фиксируется множество вариантов этого вредоносного ПО. Различные варианты могут иметь отличия в коде, методах обфускации или дополнительных функциях. Некоторые из них могут пытаться отключать средства защиты или конкурировать с другими майнерами за ресурсы системы. Однако общая схема с использованием WMI для распространения и устойчивости остается их характерной чертой.

Эксплуатация легитимных административных протоколов представляет серьезную проблему для систем защиты. Традиционные средства, ориентированные на обнаружение известных сигнатур, часто пропускают такую активность, поскольку действия выполняются от имени стандартных системных процессов. Для эффективного противодействия необходимы решения, способные анализировать поведение. Например, отслеживание аномального использования WMI для создания процессов или подозрительных сетевых подключений после выполнения WMI-скриптов.

Специалисты рекомендуют компаниям уделить особое внимание базовым мерам гигиены безопасности. Во-первых, необходимо строгое соблюдение принципа наименьших привилегий для учетных записей пользователей и служб. Это ограничит возможности злоумышленников для перемещения по сети. Во-вторых, критически важна регулярная установка обновлений безопасности для операционной системы и всего программного обеспечения, чтобы закрывать уязвимости. Кроме того, следует рассмотреть возможность сегментации сети, чтобы изолировать критически важные сегменты и предотвратить бесконтрольное распространение угроз. Наконец, обучение сотрудников правилам кибергигиены поможет снизить риск первичного проникновения через фишинговые письма.

Растущая сложность таких угроз, как CoinMiner, подчеркивает эволюцию киберпреступности. Атаки перестали быть грубыми и заметными. Теперь злоумышленники делают ставку на скрытность и эксплуатацию доверенных инструментов, что требует от организаций перехода к более продвинутым и комплексным стратегиям защиты.

SHA256

• 0338c2cc1e83c851adaa3ebb836a40b849df0c48060bd3086193542cc6a7f26c
• 063a65d2d36cae110d6d6c400956a125b9c35176d628a9a8f4d8e2133ec4d887
• 118ae6110a4b5708433ebd5809682e8c30f281f459a3b92b3e8ada5023eb6640
• 3e59379f585ebf0becb6b4e06d0fbbf806de28a4bb256e837b4555f1b4245571
• 47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
• 59f7c03a2021cb28a433ae0d018388b2a5b802686ca94699fa0bc9e1917aead0
• 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507