Обнаружен криптоджекинговый кластер с продвинутой кражей криптокошельков: три узла, два клона и скрытая система профилирования жертв

information security

Исследователь в области информационной безопасности, изучая несвязанные данные на платформе Censys, наткнулся на необычную инфраструктуру. Три сервера, работающие под управлением панелей PureMiner для криптоджекинга (скрытого майнинга криптовалют с использованием чужих ресурсов), оказались частью одной сети. При этом два из них оказались точными копиями одной и той же виртуальной машины Windows, что говорит о методичном развёртывании атакующим шаблонных образов. Третий узел был связан с ними через общий вредоносный скрипт-загрузчик.

Описание

Этот случай примечателен не только самим фактом криптоджекинга, но и тем, что оператор использует двухэтапную схему: сначала профилирует жертв на наличие криптокошельков и статуса двухфакторной аутентификации (2FA), а затем развёртывает на отобранных целях инструменты для кражи средств. Такая тактика значительно повышает эффективность атаки, позволяя злоумышленнику не тратить ресурсы на бесперспективные цели.

Исследование началось с того, что автор обнаружил на Censys узел (172.94.18[.]103) с открытой панелью PureMiner. При детальном анализе выяснилось, что этот сервер уже был известен в двух независимых фидах угроз: ThreatFox и OTX. Но когда специалист извлёк его RDP-сертификат и идентификаторы SMB, оказалось, что эти данные полностью совпадают у другого сервера (46.105.149[.]77), расположенного у другого провайдера. Совпадение машинного имени, серийного номера сертификата и GUID SMB-сервера доказывает, что это не случайность, а точная копия диска виртуальной машины. Третий узел (128.1.79[.]99) в Бангкоке был недоступен ни в одном из проверенных фидов и стал по-настоящему новой находкой. Его связывал с кластером PowerShell-скрипт enyhxk.ps1, который также контактировал с первым сервером.

Особого внимания заслуживает механизм доставки вредоносной нагрузки. На бангкокском узле были найдены папки /pp/ и /ss/, содержащие файлы AutoHotkey (популярный инструмент автоматизации) и закодированные PE-файлы в формате PNG. Сценарии AutoHotkey реализуют технику под названием "процесс-холлоуинг" (замещение кода законного процесса): они читают PNG, декодируют его (умножая числа на 2 или 4) и внедряют полученный исполняемый файл в приостановленный процесс AppLaunch.exe. В результате полезная нагрузка попадает в память, минуя запись на диск, что сильно затрудняет обнаружение антивирусами.

После декодирования были получены две сборки. Первая (a2026_decoded.exe) - известный вариант трояна удалённого доступа AsyncRAT. Этот тип вредоносных программ позволяет злоумышленнику полностью контролировать заражённую машину. Вторая сборка (s_decoded.exe) оказалась той же AsyncRAT, но с особой конфигурацией: она специально адаптирована для кражи криптокошельков. При запуске такой троян собирает системную информацию (HWID, версию Windows, список антивирусов), а затем проверяет, какие расширения криптокошельков установлены в браузерах Chrome, Edge, Firefox и Brave. Он выявляет MetaMask, TrustWallet, TronLink и другие, а также проверяет, включена ли двухфакторная аутентификация для Bitcoin Core. Жертвы без 2FA помечаются как приоритетные цели. Собранные данные отправляются на командный центр (C2) оператора (34.171.51[.]66:190), после чего он может решить, какую следующую вредоносную программу загрузить - например, криптоклиппер, перехватывающий исходящие переводы.

Наличие двух узлов-клонов с одинаковыми сертификатами и идентификаторами говорит о том, что оператор предпочитает развёртывать инфраструктуру по шаблону. Компьютерное имя KSKGNROPECBQUBT, SHA-256 RDP-сертификата и GUID SMB - это цифровые отпечатки, по которым можно отслеживать новые копии той же виртуальной машины. Как только оператор решит перенести атаку на другого провайдера, эти сигнатуры помогут быстро обнаружить свежий узел. Сейчас в Censys зафиксированы только те два сервера, которые уже описаны, но при следующем развёртывании число вырастет.

Риски для владельцев криптовалют очевидны. Вместо бездумного майнинга на всех заражённых машинах оператор использует систему отбора, чтобы украсть средства только у самых уязвимых целей. Пользователям, которые хранят криптовалюты в браузерных кошельках, настоятельно рекомендуется включить 2FA и регулярно проверять, не установлено ли на их системах подозрительное программное обеспечение. Атака не требует высокой квалификации жертвы - достаточно однажды перейти по ссылке или открыть вложение, чтобы запустить цепочку заражения.

Эта история - ещё одно напоминание о том, что полагаться только на фиды угроз недостаточно. Узлы, не замеченные в общедоступных базах, могут уже давно действовать. Тщательная инфраструктурная форензика - анализ сертификатов, идентификаторов и конфигураций - позволяет выявлять такие кластеры и предупреждать о новых волнах атак до того, как они попадут в стандартные списки индикаторов компрометации.

Индикаторы компрометации

IPv4

  • 128.1.79.99
  • 165.154.184.75
  • 172.94.18.103
  • 46.105.149.77

IPv4 Port Combinations

  • 34.171.51.66:190

Domains

  • panel.freeddns.org
  • proxey.publicvm.com

SHA256

  • 3b19ba5c3212bde4570940d81aa5b34ff1d9138961556aedf498dda616dbced5
  • 4dd0748c0296953a216bbf962c2ebdf228463536ad6974dc38cb37425db6e422
  • 8be38944888bfccf63a61956707a9fc53654e2b70e5adfec860235a9afaaad24
  • d0774f8d94ca78dc6b159b23d0a2471a0f9a6fb2bb21463fe9b9f6050e95f4c1
  • eee4f6c96ed1a8390ea884e5abdc5be2746bf9407466d4dff0a48f862c074dfc
  • effdea83c6b7a1dc2ce9e9d40e91dfd59bed9fcbd580903423648b7ca97d9696

Комментарии: 0