Новая угроза: VBS-червь Tangerine Turkey и криптомайнинг

Источник: redcanary.com
Tangerine Turkey — это VBS-червь, который был идентифицирован исследовательской группой Red Canary. Данный вредоносный код распространяется через USB-накопители и предназначен для сбора информации, используемой в криптомайнинге. По данным отчета, чёрвь был впервые обнаружен в ноябре 2024 года и быстро занял 8-е место в рейтинге угроз от Red Canary в декабре 2024 года.
Цепочка выполнения червя
Цепочка выполнения червя Tangerine Turkey включает несколько ключевых шагов:
- Запуск VBS-файла с именем, начинающимся на «x», за которым следуют шесть случайных цифр.
- Файл запускается из USB-папки, именуемой rootdir.
- Выполнение BAT-файла с аналогичным соглашением об именовании через дочерний процесс CMD.
- Создание ложной папки C:WindowsSystem32 с пробелом в начале после «Windows».
- Использование команды xcopy для перемещения подлинного двоичного файла printui.exe в вредоносный каталог.
Связь с глобальной кампанией по добыче криптовалюты
Tangerine Turkey, по всей видимости, связан с глобальной кампанией по добыче криптовалюты, известной как Universal Mining. Эта информация была подтверждена несколькими исследованиями, включая публикацию на турецкоязычном техническом форуме в феврале 2024 года о более раннем существовании червя. Примечательно, что:
- Анализ образцов на VirusTotal показал корреляцию с правилами XMRig, используемого для майнинга.
- Существует вероятность, что операторы вредоносного ПО настраивают XMRig, однако в рассматривемых образцах они не были обнаружены.
Расследования и стратегии обнаружения
Расследования в отношении printui.dll привели к выявлению подключений к сетевым доменам и IP-адресам. Это было особо подчеркнуто в отчете исследовательской лаборатории Azerbaijan CERT по операции Universal Mining, опубликованном в октябре 2024 года. Важно отметить, что:
- По состоянию на октябрь 2024 года операция Universal Mining заразила 270 741 компьютер в 135 странах.
- Исследователь безопасности Уилл Томас разработал специальные правила для выявления UniversalMiner, что способствовало нахождению 600 образцов вредоносного ПО в конце ноября 2024 года.
Заключение
Tangerine Turkey представляет собой постоянную угрозу, связанную с глобальной кампанией по добыче криптовалют, потенциально пересекающейся с Universal Mining. Использование этой вредоносной программы различных тактик обмана, перемещения файлов и загрузки библиотек DLL подчеркивает важность проактивных стратегий обнаружения угроз. Современные методы мониторинга и анализа, разработанные Red Canary, позволяют значительно улучшить защиту от таких новых угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



