روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ تلهمتری ما از تاریخ 3 دسامبر 2024 شروع کرد به شناسایی افزایش قابلتوجهی از فعالیت کریپتوماینری به نام XMRig. گرچه بیشتر لانچهای بدافزار توسط راهکارهای امنیت خانگی شناسایی شدند اما برخی روی سیستمهای سازمانی پیدا شدند. بررسیهای کاملتر نشان داد مجرمان سایبری داشتند از طریق تورنتهای گیم، این بدافزار را توزیع میکردند. این حمله احتمالاً خیلیها را در کشورهای مختلف شامل روسیه، برزیل و آلمان مورد هدف قرار داد. با این حال، این کریپتوماینر همچنین در شبکههای سازمانی نیز سر و کلهاش پیدا شد- شاید به دلیل اینکه کارمندان از کامپیوترهای کاری برای کاربردهای شخصی استفاده میکردند.
کمپین مخرب
این کمپین که تحلیلگران ما از سر محبت آن را StaryDobry (به روسی یعنی "آن خوبِ قدیمی") نامیدند با دقت برنامهریزی شده بود: توزیعهای مخرب ساخته و در سایتهای تورنت بین ماههای سپتامبر و دسامبر 2024 آپلود شدند. البته که گیمها آلوده ریپک بودند- منظورمان نسخههای مود هست که برای دور زدن بررسیهای اصالت طراحی شدند (به بیان دیگر آنها نسخههای کرکشده هستند). کاربران شروع کردند به دانلود و نصب این بازیهای تروجانی و برای مدتی این بدافزار هیچ نشانهای از فعالیت نشان نداد. اما پس از آن، در 31 دسامبر، فرمانی از سرور راه دور مهاجمان دریافت کرد که باعث دانلود و اجرای ماینر در دستگاههای آلوده شد.
لیست عناوین تروجانزده شامل بازیهای سیم کارت محبوبی مانند Garry’s Mod، BeamNG.Drive و Universe Sandbox میشود.
ما نمونهای از بدافزار را از نزدیک بررسی کردیم و موارد زیر را کشف کردیم:
- قبل از راهاندازی، برنامه بررسی میکند که آیا در محیط اشکالزدایی یا جعبه ایمنی اجرا میشود. اگر چنین باشد، نصب فوراً خاتمه می یابد.
- ماینر یک فایل اجرایی کمی تغییر یافته از XMRig است که در سال 2020 به تفصیل به آن پرداختیم.
- اگر دستگاه آلوده کمتر از 8 هسته CPU داشته باشد، ماینر اجرا نمیشود.
- محصولات ما بدافزار مورد استفاده در این کمپین را با نامهای Trojan.Win64.StaryDobry.*، Trojan-Dropper.Win64.StaryDobry.* و HEUR:Trojan.Win64.StaryDobry.gen شناسایی می کنند. جزئیات فنی بیشتر و شاخصهای مصالحه را می توان در نشریه Securelist یافت.
راهکارهای امنیتی
از نگاه امنیت سازمانی، نگرانی اصلی خود بدافزار نیست بلکه جایی است که در آن کشف شده. ماینر داخل شبکه سازمانی اتفاق ناخوشایندی است اما دست کم داده نمیدزدد. با این حال این تضمینی نیست که بار بعد یک گیم ریپک سارق یا باجافزار پشت خود قایم کرده باشد. مادامیکه کارمندان گیمهای پایرتشده را روی کامپیوترهای کاری نصب میکنند، بدافزارهای مربوط به گیمینگ مدام وارد سیستمهای سازمانی میشوند. از این رو اصلیترین توصیه ما به پرسنل امنیت اطلاعات، مسدود کردن تورنتها در سطح سیاست امنیت است (البته مگر اینکه آنها برای پروسههای کسب و کار شما لازم باشند). در حالت ایدهآل، همهی نرمافزارهای غیرکاری باید کاملاً ممنوع شوند. افزون بر این، دو توصیهی سنتی هم داریم: راهکار امنیتی مطمئنی را روی همه دستگاههای کاری خود نصب کنید. کارمندان را در زمینه اصول بهداشتی امنیت سایبری آموزش دهید. در اکثریت قریب به اتفاق موارد، اقدامات انسانی به عنوان نقطه ورود برای حملات سایبری به سیستم های شرکتی عمل می کند. به همین دلیل است که آموزش پرسنل در مورد چگونگی شناسایی و پاسخ به تهدیدهای سایبری مرتبط بسیار مهم است. یکی از راههای مؤثر برای انجام این کار، استفاده از پلتفرم آموزش آنلاین تعاملی ما، پلتفرم Kaspersky Automated Security Awareness است.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.