网络犯罪分子利用 GPU 矿工瞄准图形设计师

网络犯罪分子正在滥用高级安装程序（一种用于创建软件包的合法 Windows 工具），在受感染的计算机上投放加密货币挖掘恶意软件。这项活动至少自 2021 年 11 月以来一直在持续进行。

攻击者利用Advanced Installer将其他合法软件安装程序（例如Adobe Illustrator、Autodesk 3ds Max和SketchUp Pro）与恶意脚本打包在一起，并利用Advanced Installer的自定义操作功能使软件安装程序执行恶意脚本。

此次攻击活动针对的软件安装程序专门用于 3D 建模和图形设计，并且大多数使用法语，这表明受害者很可能跨行业，包括建筑、工程、建造、制造和娱乐等。以法语为主的国家。

有效负载包括 M3_Mini_Rat 客户端存根（允许攻击者建立后门并下载和执行其他威胁）、以太坊加密货币挖矿恶意软件 PhoenixMiner 以及多币挖矿威胁 lolMiner。

网络犯罪分子可能会利用这些特定的软件安装程序，因为它们需要强大的图形处理单元 (GPU) 功能才能运行，而对手正是依靠这些功能来挖掘加密货币。

受害对象

根据我们对发送至攻击者的命令和控制（C2）主机。此活动中使用的大多数软件安装程序都是用法语编写的，这支持了我们的观察，即此活动主要针对法语用户。

该活动可能会影响建筑、工程、建造、制造和娱乐等垂直行业，因为攻击者使用专门为 3D 建模和图形设计创建的软件安装程序。这些行业可能是非法加密货币挖矿的有吸引力的目标，因为它们使用具有高 GPU 规格和强大显卡的计算机，可用于生成加密货币。

活动概述：网络犯罪分子滥用高级安装程序来执行加密货币挖矿程序

Talos 发现了一项正在进行的非法加密货币挖掘活动，该活动通过滥用高级安装程序工具来部署恶意负载。这是一个合法的工具，旨在为 Windows 创建软件包。然而，攻击者利用它来将合法软件安装程序与恶意 PowerShell 和 Windows 批处理脚本打包在一起。这些恶意脚本是使用高级安装程序的自定义操作功能执行的，该功能允许用户预定义自定义安装任务。最终的有效负载是 PhoenixMiner 和 lolMiner，它们是依赖计算机 GPU 功能的公开矿机。

使用高级安装程序与恶意脚本打包的软件安装程序示例。

在同一时间范围内，我们还观察到攻击者使用与挖矿活动高度相似的策略、技术和程序（TTP）部署了 M3_Mini_Rat 客户端存根。存根是一段代码，用于转换远程过程期间客户端和服务器之间发送的参数。M3_Mini_Rat 客户端存根是由 M3_Mini_Rat 生成的 PowerShell 脚本，并为受害者的计算机建立后门。我们无法确定该后门是否被用于加密货币挖矿，但是，我们评估该活动可能是部署 PhoenixMiner 和 lolMiner 的同一挖矿活动的一部分。在这两个实例中，攻击者都滥用了高级安装程序及其自定义操作功能来部署恶意脚本，并且攻击序列和命名约定高度相似，

攻击者的基础设施

对该活动中使用的基础设施的分析揭示了攻击者控制的 C2 服务器的位置数据以及在之前的活动中从这些服务器部署的其他恶意软件。C2 服务器的域名为 sysnod[.]duckdns[.]org，解析为卢森堡的 IP 104[.]244[.]76[.]183。根据被动 DNS 解析数据，我们发现域 sysnod[.]duckdns[.]org 之前已解析为 IP 79[.]134[.]225[.]70 和 79[.]134[.]225[ .]124 在德国。在不同的恶意活动中，这些服务器被用作各种 RAT（包括 Nanocore、njRAT 和 AsyncRAT）的 C2 服务器，这表明它们很可能在之前的活动中被同一攻击者使用。在该挖矿活动的另一次迭代中，攻击者在法国拥有 IP 地址为 51[.]178[.]39[.]184 的恶意下载服务器，  

自 2021 年该活动开始以来，攻击者已使用多个钱包地址来促进挖掘不同的加密货币。在此活动中，我们观察到攻击者使用钱包地址“0xbEB015945E9Da17dD0dc9A4b316f8F3150d93352”和“0xbCa8d14Df89cc74B158158E55FCaF5022a103795”来进行以太经典（ETC）和FLUX（ZelHash），他们使用“t1KHZ5” Piuo4Ke7i6BXfU4”和“t1KHZ5Piuo4Ke7i6BXfU4A”。Talos 对区块链中 ETC 交易的分析显示，攻击者已将加密货币从这些父钱包转移到其他几个钱包。根据这些数据，我们编制了攻击者挖矿活动的时间表以及自 2021 年 11 月以来开采的 ETC 数量。

在 2021 年 11 月和 12 月仅开采了一些以太坊后，他们的活动于 2022 年 10 月开始爆发。2023 年 1 月，对手生成了超过 50 个以太坊经典，仅在 2023 年 7 月 9 日就开采了超过 50 个（相当于约800 美元（基于当前价值）。

用于建立后门或植入加密货币挖矿程序的两种方法

Talso 发现了攻击者在此次活动中使用的两种多阶段攻击方法。第一种方法展示了如何安装 M3_Mini_Rat 客户端存根并用于建立受害者计算机的后门。第二个概述了如何植入 PhoenixMiner 和 lolMiner 进行加密货币挖矿。我们无法确定木马软件安装程序最初是如何传送到受害者的计算机上的。过去，我们经常看到此类使用搜索引擎优化 (SEO) 投毒技术传播的木马安装程序。

攻击方法一：安装M3_Mini_Rat客户端存根

第一种攻击方式总结

当受害者单击合法软件安装程序时，攻击序列就会启动，攻击者使用高级安装程序将其与恶意脚本捆绑在一起。然后，安装程序会在本地用户配置文件应用程序数据临时文件夹中放置名为“core.bat”的恶意批处理脚本和合法的 PE 可执行文件“viewer.exe”（高级安装程序组件“MSI72E2.tmp”）。为了执行恶意脚本，攻击者滥用了高级安装程序的自定义操作功能，包括命令行参数来执行删除的恶意批处理文件。

在安装过程中，msiexec.exe（Windows Installer 的一个可执行程序，用于解释安装包并在目标系统上安装产品）使用配置的命令行参数运行“MSI72E2.tmp (viewer.exe)”，该程序执行恶意批处理脚本。在分析沙箱中的样本时识别出的示例如下所示：

msiexec.exe C:WindowsInstallerMSI72E2.tmp /EnforcedRunAsAdmin /DontWait /RunAsAdmin /HideWindow “C:UsersuserAppDataLocalTempcore.bat”

然后，软件安装程序在本地用户配置文件漫游文件夹中创建一个名为“webgard”的文件夹，并投放名为“cor.ps1”（PS-1）的恶意PowerShell加载程序脚本和一个名为“core.bin”的加密文件，该文件是M3_Mini_RAT 客户端存根。

在软件安装程序的初始执行阶段删除的恶意批处理脚本“core.bat”包含一条用于在受害者计算机中配置任务调度程序的命令。它创建一个名为“ViGEmBusUpdater”的任务，该任务每分钟运行一次，以执行“webgard”文件夹中的恶意PowerShell加载程序脚本。攻击者可能选择了名称“ViGEmBusUpdater”，通过伪装成合法的“ViGEmBusUpdater”可执行文件来逃避检测。任务调度命令如下所示：

schtasks /create /NP /sc minute /mo 1 /tn “ViGEmBusUpdater” /tr “ 'powershell' -ExecutionPolicy ByPass -WindowStyle Hidden %appdata%Webgardcor.ps1” /f

“ViGEmBusUpdater”任务执行恶意PowerShell加载程序脚本并解密加密文件“core.bin”以生成M3_Mini_Rat客户端存根并在受害者的机器内存中运行它。M3_Mini_Rat 客户端存根尝试连接到 C2，但是，在我们的分析过程中，C2 无响应，因此我们无法观察到部署的任何后续有效负载，尤其是加密矿工。

PowerShell 加载程序 (PS-1) 的屏幕截图。

攻击方法二：安装PhoenixMiner和lolMiner

第二种攻击方式总结

在第二种方法中，攻击者还滥用高级安装程序及其自定义操作功能来删除恶意批处理脚本。与方法一一样，需要用户交互才能运行使用高级安装程序捆绑的软件安装程序，该安装程序会将“viewer.exe”作为具有随机文件名的临时文件和本地用户配置文件应用程序数据中的“core.bat”删除临时文件夹。第二种方法略有不同，因为安装程序还捆绑了第二个名为“win.bat”的批处理脚本，该脚本被删除并与其他文件一起保存。然后，“viewer.exe”根据自定义操作命令执行两个删除的批处理文件，如前所述。

这两种方法之间的另一个相似之处是，软件安装程序在本地用户漫游配置文件中创建一个文件夹（在本例中称为“Winsoft”），并释放恶意 PowerShell 加载程序脚本“core.ps1”(PS-1) 和一个加密文件“core.bin”（ENC-1）。

恶意批处理脚本“win.bat”通过创建任务“MSI Task Host - Detect_Monitor”来配置任务调度程序，每两个小时运行一次，以从位置“”执行恶意PowerShell加载程序脚本“core.ps1”（PS-1） %appdata%winsoft。” “win.bat”执行的任务调度程序命令如下所示。

Win.bat 

schtasks /create /NP /sc minute /mo 120 /tn “MSI Task Host - Detect_Monitor” /tr “ 'powershell' -ExecutionPolicy ByPass -WindowStyle Hidden %appdata%Winsoftcore.ps1” /RL HIGHEST /f

当计划任务“MSI Task Host - Detect_Monitor”运行时，会执行PowerShell加载脚本（PS-1），解密加密文件“core.bin”（ENC-1），生成并执行PowerShell下载脚本。

已删除的 PowerShell 加载程序 (PS-1) 的屏幕截图。

PowerShell 下载程序将恶意 ZIP 存档从攻击者控制的服务器下载到受害者计算机上的 %windir% 位置。它解压其内容，释放另一个 PowerShell 加载脚本“core.ps1”（PS-2）、一个加密文件（ENC-2）以及一个名为 PhoenixMiner 的 Ethash 矿工可执行文件（文件名为“svhost.exe”）。

在受害者机器内存中运行的 PowerShell 下载器的片段。‌‌

恶意批处理脚本“core.bat”具有创建任务“ViGEmBusUpdater”的命令，并将其配置为每分钟运行一次，以从位置 %windir% 执行下载的 PowerShell 加载器脚本 (PS-2)。core.bat 执行的任务调度程序命令如下所示。

schtasks /create /ru SYSTEM /sc minute /mo 1 /tn “ViGEmBusUpdater1” /tr “ 'powershell' -ExecutionPolicy Bypass %windir%core.ps1” /f

当计划任务“ViGEmBusUpdater”运行时，下载的 PowerShell 加载程序脚本 (PS-2) 会从 %windir% 位置执行，这将解密删除的加密文件 (ENC-2)，以在受害者系统中生成并执行 PowerShell 启动程序脚本记忆。

下载的 PowerShell 加载程序 (PS-2) 的屏幕截图。

PowerShell 启动器使用以太坊经典挖掘参数从受害计算机的 Windows 系统文件夹运行 PhoenixMiner。攻击者使用文件名“svhost.exe”，该文件名与 Windows 系统文件夹中的合法 Windows 可执行文件名“svchost.exe”密切匹配，可能试图不被端点安全产品的恶意进程扫描引擎注意到或检测到。

在内存中执行以运行 PhoenixMiner 的 PowerShell 启动器的屏幕截图。

在我们对另一个木马软件安装程序样本的分析中，除了有效负载（即lolMiner）之外，攻击链与第二种攻击方法相同。攻击者为 lolMiner 提供了文件名“svshost.exe”，可能是为了伪装成“svchost.exe”，将其放置在 %windir% 位置，并使用 PowerShell 启动器脚本运行它以进行 FLUX (ZelHash) 挖掘。

有效载荷

此活动中传递的有效负载是 M3_Mini_Rat 客户端、名为 PhoenixMiner 或 lolMiner 的 Ethash 矿工。

M3_Mini_Rat 客户端建立后门

M3_Mini_Rat客户端是一个具有远程管理功能的PowerShell脚本，主要用于执行系统侦察以及下载和执行其他恶意二进制文件。RAT 客户端是使用与 M3_Mini_Rat 管理面板关联的构建器构建的，M3_Mini_Rat 是一个 .Net 应用程序，其作者称为“Mr3”。0.1 版本是目前唯一的版本。成功植入 RAT 客户端存根后，RAT 使用其管理面板通过 RAT 客户端在受害者的计算机上执行远程管理活动。从管理面板，RAT 可以执行多种远程管理功能，包括文件系统活动、捕获屏幕截图、执行任意命令、

M3_Mini_Rat 管理控制台的示例。

当在受害者的系统内存中执行时，RAT 客户端存根通过在端口 3434 上建立 TCP 连接来连接到命令和控制服务器。一旦成功连接，攻击者就可以执行 M3_Mini_Rat 管理面板中显示的远程管理任务，并向RAT 客户端提供服务。

M3_Mini_Rat 客户端存根的示例代码片段显示了 C2 连接指令。

RAT客户端可以执行以下命令：

PhoenixMiner将开采ETC

PhoenixMiner 是一款 Ethash（ETH、ETC、Musicoin、EXP、UBQ 等）矿机，支持 AMD 和 Nvidia 卡，并采用 Ethash 加密货币算法。执行时，它利用受害者计算机的 GPU 能力来挖掘 Ethash。它可以通过 URL hxxps[://]phoenixminer[.]org 公开下载。

在本次攻击活动中，攻击者使用了PhoenixMiner的加密货币矿池参数，如下所示：

lolMiner 挖矿 Flux

lolMiner 是一款加密货币挖矿程序，它利用计算机的 GPU 功能来挖掘各种加密货币。它支持 AMD、Nvidia 和 Intel 卡。此活动中识别的 LolMiner 版本为 1.76，可在GitHub上公开获取。它还可以同时挖掘两种不同的加密货币。

此活动中的攻击者使用 lolMiner 来挖掘 FLUX (ZelHash)，使用的挖掘参数如下所示：

IOC

MD5
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域名

Sysnod[.]duckdns[.]org
educu[.]xyz[:]9999

IP

51[.]178[.]39[.]184

URLs

hxxp[://]51[.]178[.]39[.]184[/]?smd_process_download=1&download_id=90
hxxp[://]51[.]178[.]39[.]184[/]kit[.]bin
hxxp[://]51[.]178[.]39[.]184

转载来源：https://blog.talosintelligence.com/cybercriminals-target-graphic-designers-with-gpu-miners/

图片来源网络侵权可联系删除