Новая угроза: VBS-червь Tangerine Turkey и криптомайнинг

Новая угроза: VBS-червь Tangerine Turkey и криптомайнинг

Источник: redcanary.com

Tangerine Turkey — это VBS-червь, который был идентифицирован исследовательской группой Red Canary. Данный вредоносный код распространяется через USB-накопители и предназначен для сбора информации, используемой в криптомайнинге. По данным отчета, чёрвь был впервые обнаружен в ноябре 2024 года и быстро занял 8-е место в рейтинге угроз от Red Canary в декабре 2024 года.

Цепочка выполнения червя

Цепочка выполнения червя Tangerine Turkey включает несколько ключевых шагов:

  • Запуск VBS-файла с именем, начинающимся на «x», за которым следуют шесть случайных цифр.
  • Файл запускается из USB-папки, именуемой rootdir.
  • Выполнение BAT-файла с аналогичным соглашением об именовании через дочерний процесс CMD.
  • Создание ложной папки C:WindowsSystem32 с пробелом в начале после «Windows».
  • Использование команды xcopy для перемещения подлинного двоичного файла printui.exe в вредоносный каталог.

Связь с глобальной кампанией по добыче криптовалюты

Tangerine Turkey, по всей видимости, связан с глобальной кампанией по добыче криптовалюты, известной как Universal Mining. Эта информация была подтверждена несколькими исследованиями, включая публикацию на турецкоязычном техническом форуме в феврале 2024 года о более раннем существовании червя. Примечательно, что:

  • Анализ образцов на VirusTotal показал корреляцию с правилами XMRig, используемого для майнинга.
  • Существует вероятность, что операторы вредоносного ПО настраивают XMRig, однако в рассматривемых образцах они не были обнаружены.

Расследования и стратегии обнаружения

Расследования в отношении printui.dll привели к выявлению подключений к сетевым доменам и IP-адресам. Это было особо подчеркнуто в отчете исследовательской лаборатории Azerbaijan CERT по операции Universal Mining, опубликованном в октябре 2024 года. Важно отметить, что:

  • По состоянию на октябрь 2024 года операция Universal Mining заразила 270 741 компьютер в 135 странах.
  • Исследователь безопасности Уилл Томас разработал специальные правила для выявления UniversalMiner, что способствовало нахождению 600 образцов вредоносного ПО в конце ноября 2024 года.

Заключение

Tangerine Turkey представляет собой постоянную угрозу, связанную с глобальной кампанией по добыче криптовалют, потенциально пересекающейся с Universal Mining. Использование этой вредоносной программы различных тактик обмана, перемещения файлов и загрузки библиотек DLL подчеркивает важность проактивных стратегий обнаружения угроз. Современные методы мониторинга и анализа, разработанные Red Canary, позволяют значительно улучшить защиту от таких новых угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: