В современном цифровом мире криптоджекинг становится все более изощренной угрозой для бизнеса, как показывает последний инцидент, раскрытый Darktrace. Новое вредоносное ПО сокрытым образом использует уязвимости в системе Windows, чтобы добывать криптовалюту, обходя стандартные методы антивирусной защиты.
Хитроумные обфускации и обход защиты
Атака началась с загрузки PowerShell скрипта с ресурса 45.141.87.195:8000. Этот скрипт, получивший название infect.ps1, размещал легитимные и вредоносные бинарные файлы в AppData. Среди них был подписанный AutoIt.exe и несколько зашифрованных полезных нагрузок. Использование легитимных файлов для загрузки вредоносного кода помогло атакующим остаться незамеченными традиционными антивирусами.
Использование Windows Character Map
Ключевой чертой данной атаки являлось использование Windows Character Map (charmap.exe). AutoIt загрузчик внедрил код майнера в charmap.exe, таким образом избегая детекции Windows Defender. После расшифровки скрытого майнера, вредоносное ПО проверяло наличие Диспетчера задач, права пользователя и антивирусы, а также обходило контроль учетных записей пользователей (UAC) через метод подъема привилегий Fodhelper.
Поддержание непрерывности злоумышленника
После активации майнер успешно скрывал свое окно процессов, подключался к криптопулам, таким как asia.ravenminer.com и monerooceans.stream, и обеспечивал свое повторное скачивание в случае завершения. Угрозы были выявлены за счет частых DNS-запросов и множества соединений с известными конечными точками Monero. Darktrace применил систему Rapid Autonomous Response для блокировки исходящих сообщений, остановив более 130 попыток внешних вызовов.
Криптоджекинг и искусственный интеллект
Этот случай криптоджекинга показал многоуровневую адаптацию угрозы, использующую обфускацию, легитимные бинарные файлы и инъекцию в процессы для достижения своих целей. Сложность и коварство таких атак подчеркивают важность использования искусственного интеллекта для выявления аномалий и автоматизированного реагирования на такие угрозы. Darktrace продемонстрировала, как AI может помочь в составлении карты уничтожения угрозы и последующем её устранении.
Неопровержимые показатели компрометации включали такие ресурсы, как 45.141.87.195:8000/infect.ps1 и gulf.moneroocean.stream, подчеркивая сложность и широкий охват этой угрозы.
