Microsoft обнаружила STONEDRIVE: похититель криптовалюты через USB избегает обнаружения с помощью Tor

Раскрытие вредоносного ПО STONEDRIVE: сочетание старых тактик и современных методов уклонения

 

В неожиданном сочетании традиционных и современных методов кибератак Microsoft выявила сложное вредоносное ПО, нацеленное на энтузиастов криптовалют. Это вредоносное ПО, особенно умелое в распространении через зараженные USB-накопители, использует сеть Tor для скрытой связи команд и управления. Подробно описанное в недавнем анализе исследователей безопасности Microsoft, эта угроза умело сочетает старые методы распространения, напоминающие времена расцвета Conficker, с передовыми стратегиями уклонения, чтобы потенциально скомпрометировать владельцев цифровых активов.

 

Понимание STONEDRIVE: возрождение USB-червя

 

Вредоносное ПО, идентифицированное Microsoft, отслеживается под внутренним названием STONEDRIVE. Что делает этот штамм особенно примечательным, так это его использование модели распространения USB-червя — техники, широко считающейся реликтом прошлого в области кибербезопасности. В отличие от часто встречающихся методов, включающих вложения электронной почты или загрузки при посещении сайтов, STONEDRIVE автономно копирует себя на любое вставленное съемное устройство. Когда такой накопитель вставляется в другую машину, файл autorun.inf вместе с связанными исполняемыми файлами начинает действовать, автоматически распространяя инфекцию на системах с включенными функциями автозапуска или когда пользователи взаимодействуют с замаскированным содержимым.

 

Целевой удар по сердцу криптовалюты: файлы кошельков и учетные данные

 

Попав в систему жертвы, STONEDRIVE функционирует как любой продвинутый инфостилер. Он тщательно сканирует систему на наличие файлов криптовалютных кошельков и учетных данных, нацеливаясь на популярные приложения для кошельков, такие как Electrum, Exodus и MetaMask. На этом он не останавливается — данные расширений браузера, сохраненные учетные данные, куки, сохраненные пароли и данные автозаполнения, содержащие чувствительную информацию, такую как seed-фразы или приватные ключи, также становятся целью. Вся собранная информация в конечном итоге передается обратно злоумышленникам через скрытые сервисы Tor, что значительно усложняет атрибуцию и потенциальные усилия по устранению.

 

Тактики уклонения: слои обфускации

 

Внимательное наблюдение Microsoft указывает на сложный подход STONEDRIVE к обфускации, разработанный для обхода обнаружения. Вредоносное ПО использует многоуровневый дроппер, каждый слой которого зашифрован. Они декодируются только последовательно, каждый зависит от определенных проверок среды. Этот метод эффективно препятствует анализу виртуальными машинами и инструментами песочницы, которые вызывают самоуничтожение или бездействие. Эти сложные техники уклонения позволили операциям STONEDRIVE оставаться незамеченными в течение длительного времени.

 

Использование USB-распространения для изолированных сред

 

Предпочтение USB-распространения указывает на целенаправленную стратегию заражения таких сред, как системы с воздушным зазором или сети с жесткими ограничениями на доступ в интернет. Обычно это включает корпоративные среды, исследовательские учреждения и фирмы по торговле криптовалютой, где изолированные машины часто обрабатывают подпись транзакций. В таких контекстах простое физическое перемещение зараженного USB-накопителя может соединить сети, которые считались безопасными, подчеркивая мощь тактик STONEDRIVE в ограниченных условиях.

 

Сеть Tor: вуаль анонимности

 

Сеть Tor предоставляет критические преимущества операторам, управляющим этой кампанией. Используя луковую маршрутизацию, сеть Tor скрывает фактическое местоположение серверов команд и управления, одновременно шифруя трафик таким образом, что стандартные протоколы безопасности с трудом могут его перехватить или эффективно проанализировать. В отчете Microsoft отмечается использование жестко закодированных адресов Tor, что исключает риск, связанный с разрешением DNS, которое могло бы потенциально вызвать тревогу. Более того, STONEDRIVE вступает в коммуникацию только в запланированные интервалы, что еще больше снижает его обнаруживаемость обычными мерами кибербезопасности.

 

За пределами финансовой выгоды: более широкий охват сбора разведданных

 

Анализ украденных данных показывает структурированный подход, с JSON-пакетами, захватывающими адреса кошельков и приватные ключи, где это возможно. Вредоносное ПО способно делать скриншоты и, в некоторых случаях, активировать веб-камеры и микрофоны. Такие возможности намекают на стремления, выходящие за рамки простого финансового воровства, предполагая более широкую операцию по сбору разведданных. Некоторые образцы вредоносного ПО даже показали модули для кейлоггинга и мониторинга буфера обмена, особенно вокруг адресов криптовалют, что называется 'перехват буфера обмена' — тактика, способствующая скрытому изменению скопированных адресов кошельков.

 

Ответ и смягчение: что могут сделать организации

 

Microsoft активно координирует действия с правоохранительными органами и распространяет индикаторы компрометации через свой Центр разведки угроз. Компания поддерживает некоторые основные защитные меры, такие как отключение функций автозапуска Windows и внедрение групповых политик, которые по умолчанию предотвращают выполнение файлов с USB-накопителей. Регулярное обучение для информирования сотрудников о рисках, связанных с неизвестными USB-устройствами, особенно в секторах, работающих с цифровыми активами высокой стоимости, также имеет решающее значение.

 

Финансово мотивированная кампания, нацеленная на регионы с высокой стоимостью

 

Расследование кампании предполагает в основном финансово мотивированную группу, с меньшими признаками участия государства. Акторы проявляют предпочтение к регионам с значительным вовлечением в криптовалюту, включая Северную Америку, Западную Европу и Юго-Восточную Азию. Тем не менее, везде, где сотрудники взаимодействуют с общими физическими носителями, такими как те, кто путешествует за границу, они остаются в повышенной зоне риска.

 

Непрерывная эволюция тактик вредоносного ПО

 

Форензические обзоры образцов STONEDRIVE раскрывают временную шкалу итеративных улучшений, растянувшихся на многие месяцы. Изначально омраченные ошибками и проблемами совместимости с новыми версиями Windows, последующие обновления отражают улучшенную стабильность и расширенный диапазон целей. Эта эволюция подчеркивает приверженность операторов к совершенствованию своих инструментов, включая периодические корректировки конфигурации Tor для обхода черных списков и обеспечения бесперебойной работы.

 

Обнаружение и предотвращение: борьба с STONEDRIVE

 

Системы обнаружения и реагирования на конечных точках могут обнаружить STONEDRIVE, идентифицируя специфические поведенческие паттерны, такие как необычно быстрый доступ к нескольким путям, связанным с кошельками, и неожиданная активность клиента Tor из процессов, не связанных с веб-браузером. Microsoft советует включать расширенные функции безопасности, такие как защита от подделки Windows Defender, и поддерживать актуальные патчи безопасности для противодействия эксплуатации вредоносным ПО уязвимостей устаревших систем.

 

Важность бдительности в безопасности криптовалют

 

Появление STONEDRIVE подчеркивает постоянное напряжение между цифровым удобством и безопасностью, когда многие пользователи предпочитают легкий доступ к файлам кошельков. Однако необходимость в неукоснительной безопасности не может быть переоценена, особенно с учетом того, что аппаратные кошельки и программные интерфейсы могут быть потенциальными целями. Эксперты по безопасности рекомендуют осторожный подход к любому USB-устройству и всестороннюю оценку на изолированных машинах перед подключением к операционным системам для снижения рисков.

 

Последствия для более широкой цифровой экономики

 

Потенциальный эффект от такого вредоносного ПО распространяется на уязвимости цепочки поставок в области криптовалют. Разработчики, случайно получившие зараженные USB-накопители от третьих лиц, могут невольно ввести вредоносное ПО в среды разработки, рискуя далеко идущими последствиями, особенно если критические ключи подписи или seed-фразы будут скомпрометированы. В ответ на такие угрозы некоторые блокчейн-проекты пересматривают свои политики использования USB после раскрытий Microsoft.

 

Защита от адаптивных угроз

 

По мере того как исследователи продолжают следить за развитием событий, становится очевидным, что акторы, стоящие за STONEDRIVE, будут адаптироваться к новой собранной информации и уровням бдительности. Их модульное вредоносное ПО может включать новые цели и тактики, потенциально охватывающие интеграцию программ-вымогателей и ботнетов. Поэтому организации должны стремиться к строгому управлению USB, возможно, с использованием криптографической валидации, и внедрять сегментацию сети для эффективного сдерживания потенциальных нарушений.

 

Защита пользователей в развивающемся цифровом ландшафте

 

Для индивидуальных пользователей основные меры предосторожности остаются важными, такими как использование надежного антивирусного программного обеспечения с проактивным сканированием USB. Избегание использования незнакомых USB-накопителей с критическими системами и изоляция криптовалютной деятельности на выделенных машинах — это практические шаги для снижения уровня воздействия. Работа Microsoft проливает свет на продолжающуюся актуальность устаревших техник заражения в современных контекстах, подчеркивая важность обучения пользователей практикам кибергигиены.

 

Смотрим вперед: адаптация и устойчивость

 

Кампания STONEDRIVE подчеркивает динамику между старыми механизмами угроз и современными вызовами безопасности. Зависимость от USB-носителей оказывается столь же эффективной сегодня, как и в прошлом, напоминая нам, что историческое понимание распространения вредоносного ПО может предложить ценные идеи для текущих стратегий защиты. Проактивные меры, непрерывное обучение и совместные усилия среди специалистов по безопасности и агентств останутся незаменимыми в борьбе с этими адаптивными киберугрозами.