هاكرز مجموعة Librarian Ghouls، المعروفة أيضًا باسم الذئب النادر، اخترقوا المئات من الأجهزة الروسية للتعدين الخفي للعملات المشفرة. وأفاد بذلك متخصصون من "مختبر كاسبرسكي".
خوارزمية العدوى
قام المهاجمون بالوصول إلى الأنظمة من خلال رسائل بريد إلكتروني احتيالية. تم تمويهها على أنها رسائل من منظمات حقيقية وتبدو كأنها مستندات رسمية أو أوامر دفع.
بعد إصابة الكمبيوتر بالبرمجيات الضارة هاكرز يقومون بإنشاء اتصال عن بُعد وتعطيل أنظمة الحماية، بما في ذلك Windows Defender. يقومون بإيقاف أنظمة الأمان، مثل Windows Defender. ثم يقومون بضبط الجهاز للتشغيل التلقائي في الساعة الواحدة صباحًا والإيقاف في الساعة الخامسة صباحًا. وفقًا لتقديرات "مختبر كاسبيرسكي"، هكذا يخفي المهاجمون أفعالهم عن المستخدم.
في هذه الفترة الزمنية، يقومون أيضًا بسرقة بيانات الاعتماد. قبل تشغيل برنامج التعدين، يقوم المخترقون بجمع معلومات عن النظام: حجم الذاكرة العشوائية، عدد نوى المعالج، وبيانات بطاقة الرسوميات. هذا يسمح لهم بضبط البرنامج بشكل مثالي لاستخراج العملات الرقمية. أثناء عمل برنامج التعدين، يحافظ القراصنة على الاتصال بالـ pool، حيث يرسلون الطلبات كل دقيقة.
متى بدأت الهجمات
بدأت الحملة في ديسمبر 2024 ولا تزال مستمرة حتى الآن. تضرر مئات المستخدمين الروس، معظمهم من الشركات الصناعية والجامعات التقنية. تم تسجيل حالات فردية في بيلاروسيا وكازاخستان.
لم يتم تحديد أصل المجموعة. لاحظ المحللون أن رسائل التصيد الاحتيالي مكتوبة باللغة الروسية وتحتوي على أرشيفات بأسماء روسية ومستندات مغرية. وهذا يشير إلى أن هدف الحملة هو على الأرجح المستخدمون الناطقون بالروسية أو سكان روسيا.
يعتقد الخبراء أن Librarian Ghouls قد يكونون ما يسمى بالهاكرز النشطاء. تستخدم المجموعة برامج طرف ثالث قانونية بدلاً من تطوير رمز ضار خاص بها - وهي سمة مميزة لمثل هذه التجمعات. وفقًا لشركة أخرى، BI.ZONE، كانت مجموعة Rare Werewolf نشطة منذ عام 2019 على الأقل.
نذكّر أنه في ديسمبر 2024، أبلغ محللو "مختبر كاسبرسكي" عن عملية احتيال جديدة على يوتيوب
في مايو، بلغ الضرر الذي لحق بصناعة العملات المشفرة من الاختراقات 244 مليون دولار
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
أبلغ المحللون عن موجة جديدة من التعدين الخفي في روسيا
هاكرز مجموعة Librarian Ghouls، المعروفة أيضًا باسم الذئب النادر، اخترقوا المئات من الأجهزة الروسية للتعدين الخفي للعملات المشفرة. وأفاد بذلك متخصصون من "مختبر كاسبرسكي".
خوارزمية العدوى
قام المهاجمون بالوصول إلى الأنظمة من خلال رسائل بريد إلكتروني احتيالية. تم تمويهها على أنها رسائل من منظمات حقيقية وتبدو كأنها مستندات رسمية أو أوامر دفع.
بعد إصابة الكمبيوتر بالبرمجيات الضارة هاكرز يقومون بإنشاء اتصال عن بُعد وتعطيل أنظمة الحماية، بما في ذلك Windows Defender. يقومون بإيقاف أنظمة الأمان، مثل Windows Defender. ثم يقومون بضبط الجهاز للتشغيل التلقائي في الساعة الواحدة صباحًا والإيقاف في الساعة الخامسة صباحًا. وفقًا لتقديرات "مختبر كاسبيرسكي"، هكذا يخفي المهاجمون أفعالهم عن المستخدم.
في هذه الفترة الزمنية، يقومون أيضًا بسرقة بيانات الاعتماد. قبل تشغيل برنامج التعدين، يقوم المخترقون بجمع معلومات عن النظام: حجم الذاكرة العشوائية، عدد نوى المعالج، وبيانات بطاقة الرسوميات. هذا يسمح لهم بضبط البرنامج بشكل مثالي لاستخراج العملات الرقمية. أثناء عمل برنامج التعدين، يحافظ القراصنة على الاتصال بالـ pool، حيث يرسلون الطلبات كل دقيقة.
متى بدأت الهجمات
بدأت الحملة في ديسمبر 2024 ولا تزال مستمرة حتى الآن. تضرر مئات المستخدمين الروس، معظمهم من الشركات الصناعية والجامعات التقنية. تم تسجيل حالات فردية في بيلاروسيا وكازاخستان.
لم يتم تحديد أصل المجموعة. لاحظ المحللون أن رسائل التصيد الاحتيالي مكتوبة باللغة الروسية وتحتوي على أرشيفات بأسماء روسية ومستندات مغرية. وهذا يشير إلى أن هدف الحملة هو على الأرجح المستخدمون الناطقون بالروسية أو سكان روسيا.
يعتقد الخبراء أن Librarian Ghouls قد يكونون ما يسمى بالهاكرز النشطاء. تستخدم المجموعة برامج طرف ثالث قانونية بدلاً من تطوير رمز ضار خاص بها - وهي سمة مميزة لمثل هذه التجمعات. وفقًا لشركة أخرى، BI.ZONE، كانت مجموعة Rare Werewolf نشطة منذ عام 2019 على الأقل.
نذكّر أنه في ديسمبر 2024، أبلغ محللو "مختبر كاسبرسكي" عن عملية احتيال جديدة على يوتيوب