SIEM-агент использовался в атаках SilentCryptoMiner

В 2022 году злоумышленники пытаются добывать криптовалюту на устройствах жертв без их согласия. Они используют различные необычные методы для распространения вредоносного ПО и уклонения от защиты. Один из таких методов - использование агента SIEM с открытым исходным кодом «Wazuh».

SilentCryptoMiner Campaign

Кампания была нацелена, прежде всего, на русскоязычных пользователей. Злоумышленники распространяли вредоносные файлы через сайты для бесплатной загрузки популярного программного обеспечения, такие как uTorrent, Microsoft Office и Minecraft. Они также использовали Telegram-каналы, ориентированные на криптоинвесторов, и комментарии к видеороликам на YouTube о криптовалюте, читах и азартных играх.

Злоумышленники показывали свои сайты в результатах поиска на Яндексе, делая их похожими на официальные или пиратские сайты, распространяющие популярное программное обеспечение. Они также создали Telegram-каналы, призванные привлечь владельцев криптовалют и геймеров-мошенников. Однако они отключили пересылку сообщений и скриншоты веб-версии Telegram, чтобы предотвратить раскрытие своей деятельности.

Вредоносное ПО также распространялось через YouTube. Злоумышленники загружали видеоролики на английском языке, в описании и комментариях к которым оставляли ссылки на свои ресурсы и инструкции по запуску вредоносного ПО. Ссылки могли вести пользователей как на вредоносные сайты, так и на Telegram-каналы.

После посещения сайта или канала злоумышленников пользователи могли скачать ZIP-файл, при открытии которого требовался пароль. Затем пользователь должен был выполнить ряд действий, включая отключение антивируса и Windows Defender. При запуске MSI-файла, введя правильный пароль, выполнялся VB-скрипт, который запускал BAT-файл для последующего загрузки и выполнения вредоносной полезной нагрузки.

Вредоносная полезная нагрузка представляла собой скомпилированный в EXE-файл A3X-скрипт, который был внедрен в подпись легитимной динамической библиотеки. Это обеспечивало скрытность вредоносного ПО и могло позволить злоумышленникам долго оставаться на устройствах жертв.

Indicators of Compromise

URLs

• excel-ms.github.io/Windows/MS-Excel.zip
• github.com/lidiyakamalova89/www/raw/main/Ver.1.4.1.zip
• gta-5rp.github.io/Windows/GTArp.zip
• linktr.ee/excel_ms
• linktr.ee/utorrent_client
• mssg.me/eahcu
• nyaera.ru/wp-includes/uploads/art/utorrent.zip
• nyaera.ru/wp-includes/uploads/My/MS-Excel.zip
• pastebin.com/raw/F87y7zJV
• pastebin.com/raw/uU34Qunt
• raw.githubusercontent.com/lidiyakamalova89/www/main/Ver.1.4.1.zip
• raw.githubusercontent.com/radominator7204/dsz/main/Install.zip
• rentry.co/mi9fomgo/raw

Domains

• alljump.ru
• gamejump.site
• gamesjumpers.com
• sportjump.ru
• utorrent-client.github.io

MD5

• 0305f8a9dee464f56023411e7b0924df
• 098872e9e39bd4cd0e4debd4b397b555
• 0da6e1036ca5d8231ee94a4db8c48728
• 10f888a9aa8082651adeff4790675fd5
• 1457e18b453d8cefc34047e1b0fbf76f
• 14b7429205955056f1763553f82fe244
• 1a5d955be79046a3288b869e44e87404
• 20b6ac10f657963245940c9bcd25a346
• 25b90fa3b21875157c6f33b7e1b6e8d7
• 284418b6a9c70cc30ef14df3a87c24da
• 2e4146c1a93c0bfe0f4e9ea53b8da7ee
• 2e68f4438ce59c868af01b535c98060d
• 30dd26075a5ca7a4861e9214a99d0495
• 33c7c22e33e134ec3ddfc6be8ee1f1ee
• 4b0d76262dd82985d330b02190a880c0
• 4bdcbc7ec1929d9b1ebcc4d01d605b05
• 4efa8ca01d7c566ff1b72f4ebf57cf2c
• 5788631016d8bc495f4f2614f9a7bbe0
• 60efc41c30fd9ab438e88c6011df5c38
• 6c0416f719ceca15f9e9c4f210c64fb0
• 827eca9ec457f3c5180f602832f44955
• 839471243f9c4a294c42fabf636f7cad
• 961fa114e9eb92016977940f7c97cdd9
• a802ce130be6546b76d4b54f72d14645
• a99f3f8736d7d3001aa5eb6202123948
• a9bc00e5e8a17df95bd5b8c289a12b31
• a9bd813679517c846dcf36454baa6170
• ae9e83d1031462cb5e58b4525036670c
• b25f9490f6d80f9de5a9c02cc344f9f9
• b5b323679524d52e4c058b1a3dd8dee7
• be8b6452aa874904f116f9b7cdfe343b
• cffc70e4fb7363024fcc3590755fa846
• e3b6142df6a7c73a99736082fbae2fa6
• e9154a7613a8f8baf67ec3b696c9cb12
• f213f94729b294c01a0df21800c4e395
• f8342fd3e32dcf9832dff3e923ef530b