Hacker grubu Librarian Ghouls, ayrıca Rare Werewolf olarak da biliniyor, yüzlerce Rus cihazını gizli kripto para madenciliği için hackledi. Bunu Kaspersky Laboratuvarı uzmanları bildirdi.
Enfeksiyon Algoritması
Kötü niyetliler, sistemlere phishing e-postaları aracılığıyla erişim sağladı. Gerçek kuruluşlardan gelen mesajlar gibi kamufle edilmişlerdir ve resmi belgeler veya ödeme talimatları gibi görünmektedir.
Bilgisayar korsanları, bilgisayarınıza kötü amaçlı yazılım bulaştırdıktan sonra uzaktan bağlantı kurar ve Windows Defender dahil olmak üzere koruyucu sistemleri devre dışı bırakır. Windows Defender gibi güvenlik sistemlerini devre dışı bırakırlar. Daha sonra cihazı otomatik olarak gece 1'de açılacak ve sabah 5'te kapanacak şekilde ayarladılar. Kaspersky Lab'e göre, saldırganlar eylemlerini kullanıcıdan bu şekilde gizler.
Bu süre zarfında, kimlik bilgilerini de çalıyorlar. Madenciyi başlatmadan önce, kötü niyetliler sistem hakkında bilgi topluyor: RAM miktarı, işlemci çekirdek sayısı ve ekran kartı verileri. Bu, onlara kripto para madenciliği için programı optimize etme imkanı tanıyor. Madenci çalışırken, hackerlar her dakika havuza istek göndererek iletişimde kalıyorlar.
Saldırılar ne zaman başladı
Kampanya Aralık 2024'te başladı ve hâlâ devam ediyor. Çoğunlukla sanayi işletmeleri ve teknik üniversiteler olmak üzere yüzlerce Rus kullanıcısı etkilendi. Belarus ve Kazakistan'da da bazı vakalar kaydedildi.
Grubun kökeni belirlenemedi. Analistler, kimlik avı e-postalarının Rusça hazırlandığına, Rusça başlıklar içeren arşivler ve tuzak belgeleri içerdiğine dikkat çekti. Bu, kampanyanın muhtemelen Rusça konuşan kullanıcılar veya Rusya'da yaşayan bireyleri hedef aldığını gösteriyor.
Uzmanlar, Librarian Ghouls'un sözde hacktivistler olabileceğini öne sürüyor. Grup, kendi kötü niyetli kodunu geliştirmek yerine yasal üçüncü taraf yazılımı kullanıyor - bu tür birliklerin ayırt edici bir özelliği. Diğer bir şirket olan BI.ZONE'a göre, Rare Werewolf grubu en az 2019'dan beri aktif.
Hatırlatalım ki, 2024 Aralık ayında "Kaspersky Laboratuvarı" analistleri YouTube'da yeni bir dolandırıcılıktan bahsetti.
Mayıs ayında kripto endüstrisinin hacklerden kaynaklanan zararı 244 milyon $'a ulaştı
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Analistler, Rusya'da yeni bir gizli madencilik dalgasından bahsetti.
Hacker grubu Librarian Ghouls, ayrıca Rare Werewolf olarak da biliniyor, yüzlerce Rus cihazını gizli kripto para madenciliği için hackledi. Bunu Kaspersky Laboratuvarı uzmanları bildirdi.
Enfeksiyon Algoritması
Kötü niyetliler, sistemlere phishing e-postaları aracılığıyla erişim sağladı. Gerçek kuruluşlardan gelen mesajlar gibi kamufle edilmişlerdir ve resmi belgeler veya ödeme talimatları gibi görünmektedir.
Bilgisayar korsanları, bilgisayarınıza kötü amaçlı yazılım bulaştırdıktan sonra uzaktan bağlantı kurar ve Windows Defender dahil olmak üzere koruyucu sistemleri devre dışı bırakır. Windows Defender gibi güvenlik sistemlerini devre dışı bırakırlar. Daha sonra cihazı otomatik olarak gece 1'de açılacak ve sabah 5'te kapanacak şekilde ayarladılar. Kaspersky Lab'e göre, saldırganlar eylemlerini kullanıcıdan bu şekilde gizler.
Bu süre zarfında, kimlik bilgilerini de çalıyorlar. Madenciyi başlatmadan önce, kötü niyetliler sistem hakkında bilgi topluyor: RAM miktarı, işlemci çekirdek sayısı ve ekran kartı verileri. Bu, onlara kripto para madenciliği için programı optimize etme imkanı tanıyor. Madenci çalışırken, hackerlar her dakika havuza istek göndererek iletişimde kalıyorlar.
Saldırılar ne zaman başladı
Kampanya Aralık 2024'te başladı ve hâlâ devam ediyor. Çoğunlukla sanayi işletmeleri ve teknik üniversiteler olmak üzere yüzlerce Rus kullanıcısı etkilendi. Belarus ve Kazakistan'da da bazı vakalar kaydedildi.
Grubun kökeni belirlenemedi. Analistler, kimlik avı e-postalarının Rusça hazırlandığına, Rusça başlıklar içeren arşivler ve tuzak belgeleri içerdiğine dikkat çekti. Bu, kampanyanın muhtemelen Rusça konuşan kullanıcılar veya Rusya'da yaşayan bireyleri hedef aldığını gösteriyor.
Uzmanlar, Librarian Ghouls'un sözde hacktivistler olabileceğini öne sürüyor. Grup, kendi kötü niyetli kodunu geliştirmek yerine yasal üçüncü taraf yazılımı kullanıyor - bu tür birliklerin ayırt edici bir özelliği. Diğer bir şirket olan BI.ZONE'a göre, Rare Werewolf grubu en az 2019'dan beri aktif.
Hatırlatalım ki, 2024 Aralık ayında "Kaspersky Laboratuvarı" analistleri YouTube'da yeni bir dolandırıcılıktan bahsetti.