Inledning
Hackergruppen Librarian Ghouls har lyckats ta kontroll över hundratals ryska enheter och använder dem för kryptovalutabrytning, vilket utgör ett tydligt fall av cryptojacking, rapporterar cybersäkerhetsföretaget Kaspersky.
Metod för intrång
Gruppen, även känd som Rare Werewolf, får tillgång till system genom phishing-e-postmeddelanden som innehåller skadlig kod, utformad för att likna meddelanden från legitima organisationer, såsom officiella dokument eller betalningsorder.
I en rapport från Kaspersky avslöjas att hackarna först kartlägger enheternas information innan de påbörjar kryptovalutabrytningen. När en dator har infekterats med skadlig kod etablerar hackarna en fjärranslutning och inaktiverar säkerhetssystem, såsom Windows Defender. Den infekterade enheten är programmerad att aktivera sig själv klockan 1 på morgonen och stänga av sig klockan 5 på morgonen, vilket ger hackarna möjligheten att ytterligare etablera obehörig fjärråtkomst och stjäla inloggningsuppgifter.
”Vår bedömning är att angriparna använder denna teknik för att dölja sina spår så att användaren förblir ovetande om att deras enhet har blivit kapad,” säger Kaspersky.
Hackarna stjäl inloggningsuppgifter och samlar även information om enhetens tillgängliga RAM, CPU-kärnor och GPU:er för att optimalt konfigurera kryptovalutabrytaren innan den distribueras. Medan brytningen pågår, upprätthåller hackarna en anslutning till mining-poolen och skickar en förfrågan var 60:e sekund.
Förbättrade taktiker
Kaspersky noterar att angriparna kontinuerligt förbättrar sina taktiker, vilket inkluderar inte bara dataintrång utan även distribution av fjärråtkomstverktyg och utnyttjande av phishing-sajter för att kompromettera e-postkonton. Den pågående cryptojacking-kampanjen har pågått sedan 2024.
Hittills har kampanjen, som startade i december och fortfarande är aktiv, drabbat hundratals ryska användare, särskilt inom industriella företag och ingenjörsskolor, med ytterligare offer även rapporterade i Belarus och Kazakstan.
Ursprung och motiv
Ursprunget till gruppen är ännu inte fastställt, men Kaspersky uppger att phishing-e-postmeddelandena ”är skrivna på ryska och inkluderar filer med ryska filnamn, tillsammans med språkligt vilseledande dokument.”
”Detta tyder på att de primära målen för denna kampanj sannolikt är baserade i Ryssland eller har ryska som sitt arbetsspråk,” säger Kaspersky.
Det spekuleras att Librarian Ghouls kan vara hacktivister som använder hackning som en form av civil olydnad för att främja en politisk agenda, vilket framgår av deras användning av tekniker som ofta associeras med sådana grupper, inklusive beroende av legitim tredjepartsprogramvara.
”En distinkt egenskap hos detta hot är att angriparna föredrar att använda legitim tredjepartsprogramvara framför att utveckla sina egna skadliga binärer,” säger Kaspersky.
Det är oklart hur länge gruppen har varit aktiv, men ett annat ryskt cybersäkerhetsföretag, BI. ZONE, rapporterade den 23 november att Rare Werewolf har funnits sedan åtminstone 2019.
