Атакующие используют агент SIEM-системы Wazuh — решения для мониторинга событий с открытым исходным кодом — для обхода детектирования и закрепления на устройствах пользователей.
Эксперты «Лаборатории Касперского» обнаружили необычную кампанию по распространению майнера SilentCryptoMiner. Со сложной цепочкой заражения столкнулись пользователи в нескольких странах мира, в том числе в Беларуси, Индии, Узбекистане и Казахстане. Наибольшая доля кибератак* зафиксирована в России.
Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word, Minecraft, Discord. Злоумышленники также вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов.
В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Помимо этого, зловред распространялся через YouTube — вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описании к роликам и в комментариях размещались ссылки на поддельные ресурсы.
Чтобы установить нужное ему приложение, пользователь должен был скачать ZIP-архив. В нём якобы было необходимое ПО. Внутри находился MSI-файл (для инсталляции приложений на Windows) и TXT-документ с паролем для установки программы и инструкцией. Стоит отметить, что до запуска программы рекомендовалось отключить антивирусное решение. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате многоступенчатой цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
«Команда сменных вирусных аналитиков „Лаборатории Касперского" часто сталкивается с киберугрозами различного масштаба. Описанная кампания привлекла наше внимание в том числе из-за технической сложности. Атакующие ради свой цели — извлечения прибыли путём скрытого майнинга — использовали цепочку продвинутых техник. Одним из наиболее необычных элементов оказалось применение решения, которое обычно используется для защиты пользователей, — агента SIEM-системы Wazuh.
Продукты «Лаборатории Касперского» детектируют вредоносное ПО, использующееся в рамках кампании, следующими вердиктами: HEUR:Trojan-Dropper.OLE2.Agent.gen, HEUR:Trojan.BAT.Agent.gen, HEUR:Trojan.VBS.Agent.gen, Trojan.Script.AutoIt.ak, Trojan.BAT.Agent.cix, Trojan.BAT.Miner.id, HEUR:Trojan.Multi.Agent.gen, PDM:Trojan.Win32.Generic.
Чтобы защититься от скрытого майнинга и других киберугроз, эксперты рекомендуют:
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» летом 2024 года.
Эксперты «Лаборатории Касперского» обнаружили необычную кампанию по распространению майнера SilentCryptoMiner. Со сложной цепочкой заражения столкнулись пользователи в нескольких странах мира, в том числе в Беларуси, Индии, Узбекистане и Казахстане. Наибольшая доля кибератак* зафиксирована в России.
Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word, Minecraft, Discord. Злоумышленники также вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов.
В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Помимо этого, зловред распространялся через YouTube — вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описании к роликам и в комментариях размещались ссылки на поддельные ресурсы.
Чтобы установить нужное ему приложение, пользователь должен был скачать ZIP-архив. В нём якобы было необходимое ПО. Внутри находился MSI-файл (для инсталляции приложений на Windows) и TXT-документ с паролем для установки программы и инструкцией. Стоит отметить, что до запуска программы рекомендовалось отключить антивирусное решение. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате многоступенчатой цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
«Команда сменных вирусных аналитиков „Лаборатории Касперского" часто сталкивается с киберугрозами различного масштаба. Описанная кампания привлекла наше внимание в том числе из-за технической сложности. Атакующие ради свой цели — извлечения прибыли путём скрытого майнинга — использовали цепочку продвинутых техник. Одним из наиболее необычных элементов оказалось применение решения, которое обычно используется для защиты пользователей, — агента SIEM-системы Wazuh.
Продукты «Лаборатории Касперского» детектируют вредоносное ПО, использующееся в рамках кампании, следующими вердиктами: HEUR:Trojan-Dropper.OLE2.Agent.gen, HEUR:Trojan.BAT.Agent.gen, HEUR:Trojan.VBS.Agent.gen, Trojan.Script.AutoIt.ak, Trojan.BAT.Agent.cix, Trojan.BAT.Miner.id, HEUR:Trojan.Multi.Agent.gen, PDM:Trojan.Win32.Generic.
Чтобы защититься от скрытого майнинга и других киберугроз, эксперты рекомендуют:
- скачивать приложения только из официальных источников (магазинов приложений или с сайтов компаний-разработчиков);
- использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестовыми лабораториями, например Kaspersky Premium, и ни в коем случае не отключать его при скачивании файлов.
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» летом 2024 года.
