Positive Technologies的专家使用Maxpatrol SIEM事件监控和事件管理系统检测到网络上的异常活动,表明恶意软件的大规模传播。这项研究发现,攻击影响了164个国家的25万多名用户,其中大部分受害者在俄罗斯、乌克兰、白俄罗斯和乌兹别克斯坦。
为了寻找必要的软件,用户经常访问torrent资源,而不知道这种数据交换的危险性。然而,通过下载和安装此类软件,用户允许攻击者访问其个人信息和银行账户,如果公司计算机被感染,攻击者将控制该设备,并利用该设备在针对雇主公司的攻击链中组织中间节点。
2023年8月,Positive Technologies的SOC专家在一家俄罗斯公司发现了异常活动。事件需要PT CSIRT团队(PT专家安全中心的一个部门)进行干预。专家们发现,被调查的公司的用户是未知恶意软件的受害者。
详细的全面调查中,在164个国家发现了受害者。绝大多数(超过20万)在俄罗斯、乌克兰、白俄罗、乌兹别克斯坦。还包括来自印度、菲律宾、巴西、波兰和德国的用户。
根据CSIRT的数据,攻击主要针对下载非法软件的非公司用户,但受害者包括政府机构、教育机构、石油和天然气公司、医疗、建筑、零售和IT公司。他们都收到了威胁通知。
Positive Technologies安全专家中心网络威胁研究主管Denis Kuvshinov表示:“一旦安装,这种恶意软件的行为就会非常复杂:它收集有关受害者计算机的信息,安装 RMS(用于远程控制)程序和 XMRig 矿工,并存档用户 Telegram 文件夹 (tdata) 的内容——这些只是在短时间内观察中最活跃的行动。在我们观察到的一个特定案例中,恶意软件将收集到的信息从用户的企业笔记本电脑发送到Telegram bot,它在该链中充当控制服务器。”
专家指出,入侵者访问了Telegram文件夹,进入用户的Telegram会话并监视通信,从帐户中提取数据,同时保持隐身。即使用户设置了双因素身份验证,黑客也可以通过使用暴力强制(Brute Force)来成功地绕过它。建议Telegram用户在检测到黑客迹象后结束当前会话并再次登录Messenger。
根据调查数据,此次袭击中使用的恶意软件并不难分析,专家们只研究了一次使用它的攻击,就获得了全球超过25万受害者的信息。Positive Technologies认为,实际受害人数超过了这一数字,随着使用这种武器的攻击数量的增加,受害者人数只会增加。