网络安全公司卡巴斯基（Kaspersky）表示，Librarian Ghouls可能是一个黑客行动主义者团体，这一判断基于其依赖合法第三方工具的行为，而这种技术通常与其它类似团体相关联。

卡巴斯基表示，Librarian Ghouls黑客组织已侵入数百台俄罗斯设备，并利用这些设备进行加密货币挖矿，这似乎是一种加密劫持（cryptojacking）行为。

该黑客组织，也被称为Rare Werewolf，通过伪装成合法组织信息的恶意软件钓鱼邮件获取系统访问权限，这些邮件表面上是官方文件或付款指令，卡巴斯基在周一的报告中指出。

黑客在挖矿前侦察设备信息

一旦计算机感染恶意软件，黑客会建立远程连接并禁用Windows Defender等安全系统。

被感染的设备被编程为在凌晨1时启动，并在凌晨5时关闭，黑客利用这一时间段进一步建立未经授权的远程访问并窃取登录凭据。

卡巴斯基表示：“我们评估认为，攻击者使用这种技术来掩盖他们的踪迹，使用户不知情地察觉到他们的设备已被劫持。”

随后，他们盗取登录凭据，并收集设备的可用RAM、CPU核心和GPU信息，以便在部署加密货币挖矿程序之前进行最佳配置。

卡巴斯基指出，在挖矿程序运行期间，黑客与挖矿池持续连接，每60秒发送一次请求。

该公司表示：“我们观察到攻击者不断改善他们的策略，不仅涉及数据泄露，还包括部署远程访问工具和使用钓鱼网站来破坏电子邮件账户。”

加密劫持活动自2024年以来持续进行

迄今为止，这场始于12月并仍在进行的黑客活动已经影响了数百名俄罗斯用户，尤其是在工业企业和工程学校，同时在白俄罗斯和哈萨克斯坦也有报告显示出现其他受害者。

该组织的起源尚不明确，但卡巴斯基表示，钓鱼邮件“使用俄语编写，并包含带有俄语文件名的附件，以及俄语诱饵文件。”

卡巴斯基称：“这表明此次活动的主要目标可能是位于俄罗斯或讲俄语的人群。”

Librarian Ghouls可能是黑客行动主义者

卡巴斯基推测，Librarian Ghouls可能是黑客行动主义者（hacktivists），他们通过黑客行为作为一种公民不服从的形式来推动政治议程，因为他们使用了与类似团体常用的技术，例如依赖合法的第三方工具。

卡巴斯基指出：“这一威胁的一个显著特点是，攻击者更倾向于使用合法的第三方软件，而不是自行开发恶意二进制文件。”

目前尚不清楚该组织活跃了多久，但另一家俄罗斯网络安全公司BI.ZONE在11月23日的报告中表示，Rare Werewolf至少自2019年以来便已存在。

相关推荐：以太坊基金会（Ethereum Foundation）强调用户体验（UX）和社会层所面临的安全“挑战”。