SOC Prime Bias: Середній

28 Apr 2026 15:45 UTC

Криптовідсоси як конвергентна загроза: погляди на нові гібридні екосистеми атак

Author Photo
SOC Prime Team linkedin icon Стежити
Криптовідсоси як конвергентна загроза: погляди на нові гібридні екосистеми атак
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

У звіті пояснюється, як усталена інфраструктура кіберзлочинності все більше конвергується з операціями зливу криптовалют, що призводить до появи гібридних екосистем атак, які ставлять під загрозу як активи Web2, так і Web3. Зловмисники покладаються на відшліфовані фішингові сторінки, тематика яких пов’язана з інструментами штучного інтелекту або фінансовими послугами, щоб переконати жертв підключити свої гаманці, авторизувати транзакції токенів і несвідомо переносити кошти через декілька блокчейнів. Два продемонстровані приклади, StepDrainer і EtherRAT, показують, як ця модель охоплює як злив гаманців у браузері, так і шкідливе програмне забезпечення для Windows з функціональністю, що усвідомлює блокчейн. В результаті загроза тепер поширюється далеко за межі користувачів криптовалют і глибше проникає в основні корпоративні середовища.

Розслідування

Дослідники вивчили роботу StepDrainer, як службу за підпискою на шкідливе ПЗ, включаючи його інфраструктуру на PHP і JavaScript та використання Web3Modal для відображення переконливих запрошень підключення до гаманців. Також вони проаналізували шкідливе ПЗ EtherRAT для Windows, яке постачалося через троянізований інсталятор TFTP, зберігало стійкість через ключ реєстру Run і взаємодіяло з кінцевими точками Ethereum та Solana RPC. Під час розслідування команда виявила індикатори, такі як шкідливі домени, ключі реєстру та артефакти командного рядка, пов’язані з обома шляхами атаки.

Пом’якшення

Організації повинні заблокувати доступ до відомих шкідливих доменів, вимагати багатофакторної аутентифікації для розширень гаманців де це можливо, та контролювати системи на предмет підозрілих записів реєстру Run та неочікуваних процесів Node.js. Команди безпеки також повинні перевіряти трафік до публічних сервісів RPC блокчейну на предмет аномальної поведінки та регулярно переглядати розширення браузера на предмет ознак підробки або зловживання.

Відповідь

Якщо така активність виявлена, негайно ізолюйте уражений хост, видаліть шкідливий запис реєстру Run, завершіть несанкціоновані процеси Node.js та скасуйте всі дозволи токенів, наданих ураженими гаманцями. Слідчі повинні потім провести криміналістичний аналіз, щоб виявити будь-які додаткові завантаження або механізми стійкості, а також оновити списки дозволених або заблокованих для запобігання подальшої комунікації з визначеною інфраструктурою командування і контролю.

Потік атаки

Детекції

Можливі точки стійкості [ASEPs – Програмне забезпечення/Вулик NTUSER] (через подію реєстру)

Команда SOC Prime
28 квітня 2026

Виконання NodeJS з нетипового розташування (через командний рядок)

Команда SOC Prime
28 квітня 2026

Можливе перерахування антивірусного або міжмережевого програмного забезпечення (через створення процесу)

Команда SOC Prime
28 квітня 2026

LOLBAS Conhost (через командний рядок)

Команда SOC Prime
28 квітня 2026

Підозріле використання CURL (через командний рядок)

Команда SOC Prime
28 квітня 2026

Можливі перевірки обходу (через Powershell)

Команда SOC Prime
28 квітня 2026

Можлива спроба зловживання Publicnode Ethereum як каналу C2 (через dns-запит)

Команда SOC Prime
28 квітня 2026

Можливе вивантаження / завантаження даних / C2 через сторонні сервіси / інструменти (через проксі)

Команда SOC Prime
28 квітня 2026

Можливе вивантаження / завантаження даних / C2 через сторонні сервіси / інструменти (через dns)

Команда SOC Prime
28 квітня 2026

Виявлення механізму стійкості EtherRAT з використанням conhost.exe в режимі без голови [Створення процесу в Windows]

Правила SOC Prime AI
28 квітня 2026

Виконання команди EtherRAT через PowerShell для системної розвідки [Windows PowerShell]

Правила SOC Prime AI
28 квітня 2026

Виконання симуляції

Попередня умова: Тест телеметрії та базової лінії перед польотом має пройти.

  • Опис атаки та команди

    Зловмисник вже розмістив шкідливий файл JavaScript (payload.js) на цілі. Щоб досягти стійкості, вони використовують встановлений node.exe бінарний файл для запуску conhost.exe в режимі без голови, який потім завантажує JavaScript навантаження. Цей метод уникає видимих вікон консолі і зливається з нормальною node використанням.

    1. Скидання шкідливого навантаження (payload.js) до тимчасового розташування.
    2. Виконати node.exe з командою, яка створює conhost.exe --headless з вказівкою на навантаження.
    3. Створіть заплановану задачу яка виконує цю ж команду при запуску системи, забезпечуючи стійкість.
  • Скрипт регресійних тестів

    # Імітація стійкості EtherRAT – PowerShell
    # -------------------------------------------------
    # 1. Підготуй шкідливий JavaScript навантаження
    $payloadPath = "$env:TEMPpayload.js"
    @"
    // Мінімальний шкідливий JS – насправді він би завантажив імплантат EtherRAT
    const { exec } = require('child_process');
    exec('calc.exe'); // Приклад побічного ефекту
    "@ | Set-Content -Encoding UTF8 $payloadPath
    
    # 2. Знайти node.exe (припускаємо, що він у PATH)
    $node = (Get-Command node.exe).Source
    if (-not $node) {
        Write-Error "node.exe не знайдено в PATH."
        exit 1
    }
    
    # 3. Скласти командний рядок conhost
    $conhostCmd = "C:WindowsSystem32conhost.exe --headless `"$payloadPath`""
    
    # 4. Запуск через node.exe (це створює відношення батько-дитина)
    $script = "require('child_process').exec(`"$conhostCmd`")"
    & $node -e $script
    
    # 5. НЕОБОВ’ЯЗКОВО: Створіть заплановану задачу для стійкості
    $taskName = "SystemUpdate"
    $action = New-ScheduledTaskAction -Execute $node -Argument "-e `"$script`""
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force
  • Команди очищення

    # Вилучення запланованого завдання
    Unregister-ScheduledTask -TaskName "SystemUpdate" -Confirm:$false
    
    # Видалити навантаження
    Remove-Item -Path "$env:TEMPpayload.js" -Force
    
    # Зупинити всі незавершені процеси conhost, створені тестом
    Get-Process conhost -ErrorAction SilentlyContinue | Where-Object {
        $_.Path -eq 'C:WindowsSystem32conhost.exe' -and $_.CommandLine -match '--headless'
    } | Stop-Process -Force