05/03/25
Исследователи из компании Splunk сообщили, что атака также привела к загрузке различных файлов, предназначенных для кражи данных и закрепления присутствия в заражённых системах. По данным экспертов, злоумышленники действовали скрытно, за исключением некоторых следов, оставленных в уже взломанных записях.
Хакеры использовали языки программирования, такие как Python и PowerShell, что позволяло им действовать в ограниченных средах и применять API-запросы, например, через Telegram, для управления заражёнными системами. Первоначальный доступ они получали путём брутфорс-атак на слабые учётные данные. Источники атак, согласно данным анализа, находились в Восточной Европе. Всего было атаковано более 4000 IP-адресов интернет-провайдеров, пишет Securitylab.
После проникновения в сеть злоумышленники загружали исполняемые файлы через PowerShell, чтобы проводить сканирование сети, похищать информацию и запускать XMRig — инструмент для майнинга криптовалют, использующий вычислительные ресурсы жертв. Перед выполнением основной нагрузки киберпреступники отключали функции безопасности и завершали процессы, связанные с обнаружением криптомайнеров.
Помимо сбора данных и кражи скриншотов, вредоносное ПО функционировало аналогично «клипперу», отслеживая содержимое буфера обмена в поисках криптовалютных кошельков. Среди целевых валют значились Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) и TRON (TRX).
Полученные данные передавались в Telegram-бота. На заражённые машины также загружался бинарный файл, который активировал дополнительные полезные нагрузки. Среди них — «Auto.exe», скачивающий списки паролей («pass.txt») и IP-адресов («ip.txt») для новых атак брутфорсом, а также «Masscan.exe» — инструмент для массового сканирования сети.
Злоумышленники сосредоточили атаки на определённых P-адресах (CIDR) интернет-провайдеров, находящихся в Китае и на западном побережье США. Используемый инструмент Masscan позволял им сканировать большое количество IP-адресов, выявлять открытые порты и запускать атаки брутфорсом на учётные записи.
