網路安全公司卡巴斯基(Kaspersky)表示,Librarian Ghouls 駭客組織已入侵數百台俄羅斯設備,並利用這些設備進行加密貨幣挖礦,這似乎是一起加密劫持(cryptojacking)案件。
該駭客組織,也被稱為 Rare Werewolf,透過偽裝成合法組織資訊的惡意軟體釣魚郵件取得系統存取權限,這些郵件看似是官方文件或付款指示,卡巴斯基在週一的報告中表示。
駭客在挖礦前偵察設備資訊
在電腦感染惡意軟體後,駭客會建立遠端連線並停用 Windows Defender 等安全系統。
被感染的設備還被編程為在凌晨 1 時開機,並在凌晨 5 時關機,駭客利用這一時間段進一步建立未經授權的遠端存取並竊取登入憑證。
卡巴斯基表示:「我們評估認為,攻擊者使用這種技術來掩蓋他們的蹤跡,使用戶 unaware 他們的設備已被劫持。」
隨後,他們竊取登入憑證,並收集有關設備可用 RAM、CPU 核心和 GPU 的資訊,以便在部署加密貨幣挖礦程式前進行最佳配置。
根據卡巴斯基的說法,在挖礦程式運行期間,駭客與挖礦池保持連線,每 60 秒發送一次請求。
該公司表示:「我們觀察到攻擊者不斷改進他們的策略,不僅包括資料外洩,還包括部署遠端存取工具和使用釣魚網站來破壞電子郵件帳戶。」
加密劫持活動自 2024 年以來持續進行
迄今為止,這場始於 12 月且仍在繼續的駭客活動已影響了數百名俄羅斯用戶,特別是工業企業和工程學校,同時在白俄羅斯和哈薩克也報告了其他受害者。
該組織的起源尚未確定;然而,卡巴斯基表示,釣魚郵件「使用俄語編寫,並包含帶有俄語檔名的檔案,以及俄語誘餌檔案。」
卡巴斯基稱:「這表明此次活動的主要目標可能是位於俄羅斯或講俄語的人群。」
Librarian Ghouls 可能是駭客行動主義者
卡巴斯基推測,Librarian Ghouls 可能是駭客行動主義者(hacktivists),他們透過駭客行為作為一種公民不服從形式來推動政治議程,這是由於他們使用了與類似團體常用的技術,例如依賴合法的第三方工具。
卡巴斯基表示:「這一威脅的一個顯著特點是,攻擊者更傾向於使用合法的第三方軟體,而不是開發自己的惡意二進位檔案。」
目前尚不清楚該組織活躍了多久,但另一家俄羅斯網路安全公司 BI.ZONE 在 11 月 23 日的報告中表示,Rare Werewolf 至少自 2019 年以來就已存在。