Киберпреступники заразили криптомайнерами более 50% систем международного аэропорта в Европе.
Исследователи из компании Cyberbit обнаружили крупную кибератаку, в ходе которой преступники заразили вредоносами более 50% систем одного из международных аэропортов в Европе для добычи криптовалюты Monero.
Атака была замечена во время развертывания одного из защитных решений компании, в частности, исследователи обнаружили подозрительное использование инструмента PAExec, который несколько раз за короткий промежуток времени применялся для запуска приложения player.exe. PAExec является распространяемой версией утилиты PSExec от Microsoft, используемой для запуска программ Windows на удаленных системах без необходимости физической установки программного обеспечения. Использование PAExec часто является признаком злонамеренной активности.
Также было обнаружено использование техники отражающей DLL-загрузки (Reflective DLL Loading) после запуска player.exe. Метод состоит в удаленном внедрении DLL-библиотек без использования загрузчика Windows, позволяя избежать обнаружения, поскольку файл не извлекается с жесткого диска и не сканируется антивирусными программами. Техника отражающей DLL-загрузки представляет собой распространенную тактику уклонения от обнаружения, используемую злоумышленниками для маскировки загрузки вредоносных файлов.
По результатам подробного анализа стало известно, что вредоносная программа была связана с майнером xmrig для добычи криптовалюты Monero, инструмент PAExec использовался в основном для повышения привилегий до уровня SYSTEM, а вредонос добавлял PAExec.exe в реестр для обеспечения персистентности на системе.
Компания не указала название аэропорта, однако сообщила, что стандартные виды антивирусного программного обеспечения не смогли поймать вредонос, включая развернутые в сети аэропорта системы защиты.
Первое — находим постоянно, второе — ждем вас