СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.12.2025
#ИБ

PrintMiner: распространение CoinMiner через USB-ярлык и XMRig

В феврале 2025 года аналитический центр безопасности AhnLab (ASEC) сообщил о новом методе распространения вредоносного ПО CoinMiner через USB-накопители в Южной Корее. В июле 2025 года исследование Mandiant дополнительно детализировало семейство вредоносного ПО, выделив варианты DIRTYBULK и CUTFAIL. Атака использует социальную инженерию и видимые ярлыки, чтобы обойти традиционные механизмы автоматического выполнения и затруднить обнаружение.

«ASEC сообщил о новом методе распространения CoinMiner через USB-накопители в Южной Корее.» — ASEC

«Mandiant выделила варианты вредоносного ПО как DIRTYBULK и CUTFAIL.» — Mandiant

Как действует атака

  • На USB-накопителе злоумышленники размещают видимый ярлык «USB Drive.lnk» и ряд скрытых папок, в том числе «sysvolume» и «USB Drive». Пользователь, включив отображение скрытых файлов, получает доступ к этим папкам.
  • В основе кампании — дроппер printui.dll, который устанавливает дополнительные компоненты вредоносного ПО.
  • printui.dll запускает второй дроппер svcinsty64.exe, размещаемый в системном каталоге Windows.
  • svcinsty64.exe создаёт и запускает svctrl64.exe, при этом создаётся конфигурационный файл «wlogz.dat» в папке %SystemDirectory%wsvcz.
  • svctrl64.exe функционирует как дочерний процесс, обеспечивая дальнейшую активность и коммуникацию с C&C сервером.
  • Вредоносное ПО, классифицируемое как PrintMiner, использует службу DcomLaunch для организации своей работы.
  • PrintMiner регистрирует папку установки в исключениях Windows Defender и меняет параметры питания, чтобы предотвратить переход машины в спящий режим.
  • Для добычи криптовалюты загружается и разворачивается XMRig, файлы хранятся в зашифрованном виде в каталоге %SystemDirectory%wsvcz и требуют дешифрования перед исполнением.

Технические детали и признаки компрометации

  • Файлы и процессы, на которые стоит обращать внимание: printui.dll, svcinsty64.exe, svctrl64.exe, конфигурация wlogz.dat, установочные/расположенные в %SystemDirectory%wsvcz.
  • Обнаружение сетевой активности на внешние C&C адреса и передачу данных о системе (hardware fingerprint: CPU и GPU) следует рассматривать как индикатор компрометации.
  • Изменения в списке исключений Windows Defender и нетипичные правки настроек питания — характерный побочный эффект работы PrintMiner.
  • Использование видимых ярлыков (.lnk) и скрытых папок на USB — признак социальной инженерии, направленной на пользователя.

Рекомендации по защите и реагированию

  • Не подключайте и не открывайте файлы с неизвестных или непроверенных USB-накопителей.
  • Отключите AutoPlay/AutoRun для сменных носителей на всех рабочих станциях и серверах.
  • Используйте централизованную политику, запрещающую запуск исполняемых файлов с сменных носителей (Group Policy, AppLocker, аналогичные механизмы).
  • Проверьте и, при необходимости, откатите изменения в исключениях Windows Defender и политике питания; аудитируйте журналы безопасности на предмет соответствующих изменений.
  • Обновите антивирусные и EDR-решения, добавьте сигнатуры и поведенческие правила для обнаружения svcinsty64.exe, svctrl64.exe, а также попыток регистрации папок в исключениях Defender и аномальной сетевой активности к C&C.
  • Шифрующие и исполняемые артефакты в каталогах вида %SystemDirectory%wsvcz рассматривайте как подозрительные; изолируйте и исследуйте такие машины офлайн с использованием Forensics-процедур.
  • Обучайте пользователей: не открывать подозрительные ярлыки (.lnk) и не включать показ скрытых папок без веской причины.
  • Рассмотрите применение средств контроля доступа и изоляции устройств (USB-портов), а также регулярного сканирования сменных носителей на выделенных сегментах сети.

Вывод

Атака через USB с использованием видимых ярлыков и скрытых папок демонстрирует эволюцию тактик злоумышленников: перенос фокуса с автоматического исполнения на эксплойт доверия пользователя. PrintMiner (варианты DIRTYBULK и CUTFAIL) сочетает в себе комбинацию дропперов, модификаций системных настроек, коммуникаций с C&C и развёртывания майнера XMRig. Комплексная защита — от политики использования сменных носителей до своевременного обнаружения аномалий и обновлённого EDR — остаётся ключевым инструментом противодействия таким кампаниям.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: