Hackergruppen Librarian Ghouls og Cryptojacking
Hackergruppen Librarian Ghouls har kompromitteret hundreder af russiske enheder for at mine kryptovaluta i et tilsyneladende tilfælde af cryptojacking, ifølge cybersikkerhedsfirmaet Kaspersky. Gruppen, også kendt som Rare Werewolf, får adgang til systemer gennem malware-baserede phishing-e-mails, der maskeres som meddelelser fra legitime organisationer, således at de fremstår som officielle dokumenter eller betalingsordrer.
Angrebets Metoder
Hackerne skanner enhedsoplysninger, før miningprocessen igangsættes. Efter at en computer er inficeret med malware, etablerer hackerne en fjernforbindelse og deaktiverer sikkerhedssystemer som Windows Defender.
Den inficerede enhed er desuden programmeret til at tænde kl. 1 om natten og slukke kl. 5 om morgenen. I denne periode bruger hackerne tiden til at etablere yderligere uautoriseret fjernadgang og stjæle login-oplysninger.
“Det er vores vurdering, at angriberne anvender denne teknik til at dække deres spor, så brugeren forbliver uvidende om, at deres enhed er blevet kapret.”
Dataindsamling og Mining
Hackerne stjæler login-oplysninger og indsamler også data om enhedens tilgængelige RAM, CPU-kerner og GPU’er for optimalt at konfigurere kryptominerens funktion, før denne implementeres. Mens mineren kører, opretholder hackerne en forbindelse til mining-puljen og sender en forespørgsel hvert 60. sekund.
“Vi observerer, at angriberne kontinuerligt forfiner deres taktik, som omfatter ikke kun dataudvinding, men også implementering af værktøjer til fjernadgang og brug af phishing-sider til at kompromittere e-mailkonti.”
Omfanget af Angrebene og Mulig Oprindelse
Kampagnen for cryptojacking har stået på siden 2024 og har indtil videre påvirket hundreder af russiske brugere, især inden for industrielle virksomheder og ingeniørskoler. Der er også rapporteret om yderligere ofre i Hviderusland og Kasakhstan. Oprindelsen af gruppen er endnu ikke fastslået; dog har Kaspersky bemærket, at phishing-e-mails “er skrevet på russisk og indeholder filer med russiske filnavne samt falske dokumenter på russisk.”
“Dette tyder på, at de primære mål for denne kampagne sandsynligvis er baseret i Rusland eller taler russisk.”
Mulige Motiver bag Angrebene
Det er muligt, at Librarian Ghouls er hacktivister. Kaspersky spekulerer i, at de muligvis bruger hacking som en metode til civil ulydighed for at fremme en politisk dagsorden, givet deres brug af teknikker, der typisk forbindes med lignende grupper.
“Et kendetegn ved denne trussel er, at angriberne foretrækker at bruge legitimt tredjepartssoftware frem for at udvikle deres egne ondsindede binære filer.”
Det er endnu uklart, hvor længe gruppen har været aktiv, men et andet russisk cybersikkerhedsfirma, BI.ZONE, har angivet i en rapport den 23. november, at Rare Werewolf har eksisteret siden mindst 2019.
