Bilgisayar korsanları, kripto madenciliği için internet kafe sistemlerini ele geçirmek için gh0st sıçan kullanıyor


Bilgisayar korsanları, 2024’ün ikinci yarısından bu yana Güney Kore’de İnternet kafelerini hedef alıyor ve kripto para madenciliği için kötü amaçlı araçlar kurmak için özel yönetim yazılımından yararlanıyor.

Ahnlab Güvenlik İstihbarat Merkezi’nden (ASEC) ayrıntılı bir rapora göre, 2022’den beri aktif olan saldırganlar, sistemlerin kontrolünü ele geçirmek için kötü şöhretli GH0ST sıçanını (uzaktan erişim truva atı) kullanıyorlar, sonuçta Ethereum ve Ravencoin gibi kripto para birimlerini dağıtıyor.

Bu kampanya, özellikle müşteri kullanımını izlemek ve ücretleri hesaplamak için ayrılmaz olan Kore Internet Café yönetim programlarını çalıştıran sistemlere odaklanmaktadır.

– Reklamcılık –
Google Haberleri
  Gh0st sıçan
Akış şeması

Hedef Güney Kore İnternet Kafeleri

Her ne kadar başlangıç ​​erişiminin kesin yöntemi araştırılmasına rağmen, bu saldırıların ölçeği ve hassasiyeti, GH0ST sıçanının C. Rufus güvenlik ekibi ile kökenleri nedeniyle Çince konuşan gruplarla bağlantılı olduğuna inanılan tehdit aktörleri tarafından hedeflenen yazılımın derin bir şekilde anlaşılmasını düşündürmektedir.

Saldırganlar, GH0ST Rat ve Droppers ile başlayarak, genellikle Themida veya Mpress gibi araçlarla dolu çok katmanlı bir kötü amaçlı yazılım cephaneliği kullanıyor.

Bir kez yüklendikten sonra, tipik olarak “c: \ map1800000.dll” gibi yollarda, GH0ST sıçan bir sistem hizmeti olarak kayıt yapar ve dosya ve işlem manipülasyonu, keyloglama ve ekran yakalama gibi uzaktan kumanda özelliklerini etkinleştirir.

Komut ve kontrol (C&C) sunucuları ile iletişim, özelleştirilmiş bir varyant sergileyen tipik “GH0ST” yerine bir imza dizesi “seviye” kullanır.

  Gh0st sıçan
Kaynaktaki GH0ST Sıçanı

Uzaktan erişimin ötesinde, bilgisayar korsanları, yönetim yazılım süreçlerinin belleğini manipüle etmek için Patcher kötü amaçlı yazılım gibi ek yükler kullanır ve “cmd.exe” gibi meşru sistem dosyaları olarak gizlenmiş stratejik dosya yerleşimleri yoluyla kalıcılık sağlar.

Kötü amaçlı yazılım cephaneliğinin teknik dökümü

İndiriciler, İnternet kafelerinde yaygın olan yüksek performanslı oyun PC’lerinde verimliliği nedeniyle seçilen GPU odaklı T-Rex Coinminer dahil olmak üzere diğer kötü amaçlı bileşenlerin sunulmasını kolaylaştırıyor.

“% ProgramFiles% (x86) \ windows nt \ mmc.exe” gibi yollar yükleme için kullanılır ve dosya adları yazılım sağlayıcılarının güncellemelerinden kaçınmak için sık sık değiştirilir.

Özellikle, Killproc gibi bazı kötü amaçlı yazılım suşları, rakip madencileri veya güvenlik süreçlerini sonlandırmak için tasarlanmıştır ve saldırganların dayanağını daha da güvence altına almaktadır.

Bu sofistike düzenleme, Phoenixminer gibi araçların zaman zaman kullanımı ile artırılan kripto para madenciliğinin birincil nedenini vurgulamaktadır.

Bu saldırıların sonuçları, şimdi sistem güvenliğine öncelik vermesi gereken İnternet Café operatörleri için şiddetlidir.

ASEC, güvenlik ürünlerinin kötü amaçlı yazılımları algılamak ve engellemek için güncel olmasını sağlamanın yanı sıra işletim sistemlerini ve yönetim yazılımlarını yama güvenlik açıklarına kadar güncel tutmanızı önerir.

Yöneticiler, enfeksiyonları hızlı bir şekilde tanımlamak ve hafifletmek için Ahnlab tarafından sağlanan Dosya Karmalar, URL’ler ve IP adresleri dahil olmak üzere belirli uzlaşma göstergelerini (IOC’ler) izlemeleri istenir.

Uzlaşma Göstergeleri (IOCS)

TipDeğer
MD5 karma04840B2F22C28E996E049515215A744
0b05b01097eec1c2d7cb02f70b546fff
142B976D89400A97F6D037D834EDFAAF
15ba916a57487b9c5cb8c76335b59b7
15D6F2A36A4CD40C9205E111A7351643
Urlhttp://112.217.151.10/config.txt
http://112.217.151.10/mm.exe
http://112.217.151.10/pms.exe
http://112.217.151.10/statx.exe
http://121.67.87.250/3.exe
IP adresi103.25.19.32
113.21.17.102
115.23.126.178
121.147.158.132
122.199.149.129

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link