Kripto Madencileri Kullanan Siber Saldırganlar, Grafik Tasarımcılarını Hedef Alıyor

Cyber suçluları, “Advanced Installer” adlı meşru bir Windows aracını kullanarak grafik tasarımcılarının bilgisayarlarını kripto madencilerle enfekte etmek için harekete geçiyor.

Saldırganlar, Adobe Illustrator, Autodesk 3ds Max ve SketchUp Pro gibi popüler 3D modelleme ve grafik tasarım yazılımları için kurulum dosyalarını tanıtmaktadırlar, muhtemelen kara şapka arama motoru optimizasyonu teknikleri aracılığıyla.

Ancak, bu kurulum dosyaları gizli kötü niyetli komut dosyalarını içerir ve indirenleri uzaktan erişim Truva atları (RAT’lar) ve kripto madencilik yükleri ile enfekte eder.

Tehtit aktörleri, grafik tasarımcıları, animatörleri ve video düzenleyicileri gibi özel hedeflere odaklanmaktadır, çünkü bunlar yüksek madencilik hash oranlarını destekleyen güçlü GPU’lu bilgisayarları kullanma olasılığı daha yüksektir, bu da kripto madenciliği operasyonunu daha karlı hale getirir.

Bu kampanya, Cisco Talos tarafından keşfedildi ve en azından Kasım 2021’den beri devam ettiği bildiriliyor.

Şu anda, kurbanların çoğu Fransa ve İsviçre’de bulunmaktadır, ayrıca Amerika Birleşik Devletleri, Kanada, Almanya, Cezayir ve Singapur’da önemli sayıda enfeksiyon olduğu görülmektedir.

İki saldırı yöntemi
Cisco analistleri, bu kampanyada kullanılan iki farklı saldırı türünü gözlemlemişlerdir.

Her iki durumda da saldırganlar, Advanced Installer’ı kullanarak Windows için kötü niyetli PowerShell ve batch komut dosyalarıyla dolu kurulum dosyaları oluşturur ve bu komut dosyaları yazılımın “Özel İşlem” özelliği aracılığıyla kurulum başlatıldığında çalıştırılır.

İki saldırı yöntemi, çalıştırılan komut dosyaları, enfeksiyon zincirinin karmaşıklığı ve hedef cihaza bırakılan son yükler açısından farklılık gösterir.

İlk yöntem, bir geri kapı yükü sunar ve saldırganlar hedef sistemlere discreat, uzun süreli erişimi sürdürmenin ana hedef olduğu durumlarda tercih edilebilir.

İkinci saldırı yöntemi, kripto madencileri içeren hızlı finansal kazançlara yönelik olarak daha yüksek tespit riski taşır.

Madencilik ve RAT yükleri
M3_Mini_Rat yükü, saldırganlara uzaktan erişim yetenekleri sağlar, böylece sistem keşfi yapabilir ve enfekte edilmiş sistemlere ek yükler yükleyebilirler.

RAT aracı şunları yapabilir:

Sistem Keşfi: Kullanıcı adı, işletim sistemi sürümü, antivirüs durumu, ağ durumu ve donanım özellikleri gibi detayları toplar.
Süreç Yönetimi: Çalışan süreçleri listeler ve yönetir, dahil etme yetenekleri dahil.
Dosya Sistemini Keşfetme: Mantıksal sürücüleri sıralar ve belirli klasörlerin detaylarını alır.
Komut ve Kontrol: Uzaktan yönetim görevleri ve komut alma için bir TCP bağlantısı kullanır.
Dosya Yönetimi: Dosyaları indirme, kontrol etme, yeniden adlandırma ve silme işlemlerini yönetir ve kötü amaçlı ikili dosyaları çalıştırabilir.
Veri İletimi: Keşif detayları dahil veri gönderir, saldırganın sunucusuna.
Özel Kontroller: Citrix bağlantı merkezi sunucusu gibi belirli sunucu süreçlerini tanır.
Çıkış: Müşteriden güvenli bir şekilde çıkış yapma ve veri akışlarını yönetme seçenekleri sunar.
Diğer iki yük olan PhoenixMiner ve lolMiner, AMD, Nvidia ve Intel (yalnızca lolMiner) grafik kartlarının hesaplama gücünü ele geçirerek kripto para madenciliği yapar.

PhoenixMiner, Ethash (ETH, ETC, Musicoin, EXP, UBQ, vb.) bir madenci iken, lolMiner, Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish ve diğerlerini içeren çoklu protokolleri destekler.

Bu kampanyada görülen lolMiner sürümü 1.76’dır ve aynı anda iki farklı kripto para madenciliği yapmayı destekler.

PhoenixMiner yapılandırması GPU güç sınırlamasını %75’e ve sistem fan kontrolünü maksimum hızda %65’e ayarlar.

Benzer kısıtlamalar, GPU gücünün %75’ini kullanan lolMiner parametrelerinde de görülmektedir ve sıcaklık 70 derece Celsius’a ulaşırsa madenciliği duraklatır.

Bu, saldırganların çok fazla kaynak kullanarak tespit edilmekten kaçınmaya çalıştığını göstermektedir.

Bu kampanyanın göstergeleri listesine ilişkin tam bir bilgi, bu GitHub deposunda bulunabilir.

Yorum yapın