Librarian Ghouls: Nhóm Hacker Nhắm Vào Người Nga Để Khai Thác Tiền Điện Tử

Nhóm hacker có tên Librarian Ghouls, hay còn gọi là Rare Werewolf, được nghi ngờ là những hacktivists sử dụng các công cụ của bên thứ ba hợp pháp để xâm nhập hàng trăm thiết bị của người Nga nhằm mục đích khai thác tiền điện tử.

Nhóm hacker Librarian Ghouls đã xâm nhập hàng trăm thiết bị của người Nga, sử dụng chúng để khai thác tiền điện tử trong một vụ tấn công được cho là cryptojacking.

Nhóm này, còn được biết đến với tên Rare Werewolf, có được quyền truy cập vào hệ thống thông qua các email phishing chứa mã độc. Những email này được ngụy trang dưới dạng tin nhắn từ các tổ chức hợp pháp, thường xuất hiện như các tài liệu chính thức hoặc lệnh thanh toán.

Hackers Thu Thập Thông Tin Thiết Bị Trước Khi Khai Thác

Khi một máy tính bị nhiễm mã độc, các hacker thiết lập kết nối từ xa và vô hiệu hóa các hệ thống bảo mật như Windows Defender.

Thiết bị bị nhiễm được lập trình bật lên lúc 1 giờ sáng và tắt lúc 5 giờ sáng, cho phép các hacker thiết lập quyền truy cập từ xa không được phép và đánh cắp thông tin đăng nhập trong khoảng thời gian này.

"Chúng tôi đánh giá rằng các kẻ tấn công sử dụng kỹ thuật này để che giấu dấu vết của mình, để người dùng không biết rằng thiết bị của họ đã bị chiếm đoạt," một công ty an ninh mạng cho biết.

Sau đó, các hacker đánh cắp thông tin đăng nhập và thu thập thông tin về RAM, lõi CPU và GPU có sẵn của thiết bị để tối ưu hóa cấu hình của máy khai thác tiền điện tử trước khi triển khai.

Trong khi máy khai thác đang hoạt động, các hacker duy trì kết nối với nhóm khai thác, gửi yêu cầu mỗi 60 giây.

"Chúng tôi quan sát thấy rằng các kẻ tấn công liên tục cải tiến chiến thuật của mình, không chỉ bao gồm việc đánh cắp dữ liệu mà còn triển khai các công cụ truy cập từ xa và sử dụng các trang web phishing để xâm nhập tài khoản email," công ty lưu ý.

Chiến Dịch Cryptojacking Đang Diễn Ra Từ Năm 2024

Chiến dịch tấn công, bắt đầu từ tháng 12 và vẫn đang tiếp diễn, đã ảnh hưởng đến hàng trăm người dùng Nga, đặc biệt là những người trong các doanh nghiệp công nghiệp và trường học kỹ thuật. Các nạn nhân bổ sung đã được báo cáo ở Belarus và Kazakhstan.

Nguồn gốc của nhóm vẫn chưa rõ ràng; tuy nhiên, các email phishing được viết bằng tiếng Nga và bao gồm các tệp lưu trữ với tên tệp tiếng Nga, cùng với các tài liệu mồi bằng tiếng Nga.

"Điều này cho thấy rằng mục tiêu chính của chiến dịch này có lẽ dựa trên Nga hoặc nói tiếng Nga," công ty an ninh mạng cho biết.

Librarian Ghouls Có Thể Là Hacktivists

Có suy đoán rằng Librarian Ghouls có thể là những hacktivists, sử dụng việc hack như một hình thức bất tuân dân sự để thúc đẩy một chương trình chính trị. Suy đoán này xuất phát từ việc họ sử dụng các kỹ thuật thường liên quan đến các nhóm tương tự, như sự phụ thuộc vào các tiện ích của bên thứ ba hợp pháp.

"Một đặc điểm nổi bật của mối đe dọa này là các kẻ tấn công ưa chuộng sử dụng phần mềm của bên thứ ba hợp pháp hơn là phát triển các tệp nhị phân độc hại của riêng mình," công ty an ninh mạng giải thích.

Thời gian hoạt động của nhóm này không được biết, nhưng một công ty an ninh mạng khác đã báo cáo rằng Rare Werewolf đã hoạt động từ ít nhất năm 2019.

Theo Cointelegraph

Tin khác