Moneroマイナーは、過去数か月の攻撃キャンペーンで配布されている最も人気のある暗号通貨関連のマルウェアの1つです. ハッカーの戦略には、さまざまな種類の侵入の試みにそれらが含まれているようです。. ただし、最新の攻撃キャンペーンは、世界中のコンピューターネットワークに対して設定されたダブルモネロマイナーを使用することにより、新しいタイプの戦術に焦点を当てているようです.
ダブルモネロマイナーが発見された攻撃キャンペーン
コンピューターセキュリティの研究者とアナリストは、一次または二次ペイロードとして暗号通貨マイナーを特徴とする進行中の攻撃キャンペーンのレポートを常に受け取っています. 複雑な計算を開始するためにメモリにロードする必要があるのは小さなスクリプトだけであるため、これらは人気があります。. 鉱夫は、犯罪者に転送される暗号通貨を生成するために、利用可能なハードウェアリソースを利用する特別なソフトウェアを実行します. 脅威の大部分は、最も人気のある暗号通貨を狙っています: ビットコイン, モネロとイーサリアム.
現在、世界中のコンピュータネットワークに対して新しいタイプの攻撃キャンペーンが設定されています. 犯罪者は主に、発見された脆弱性を使用してデータベースサーバーを標的にしています. 識別された問題は CVE-2017-10271 これは、アドバイザリーで次のように説明されています:
OracleFusionMiddlewareのOracleWebLogicServerコンポーネントの脆弱性 (サブコンポーネント: WLSセキュリティ). 影響を受けるサポートされているバージョンは 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 と 12.2.1.2.0. 簡単に悪用可能な脆弱性により、認証されていない攻撃者がT3経由でネットワークにアクセスしてOracleWebLogicServerを侵害する可能性があります. この脆弱性の攻撃が成功すると、OracleWebLogicServerが乗っ取られる可能性があります. CVSS 3.0 基本スコア 7.5 (可用性への影響). CVSSベクトル: (CVSS:3.0/AV:該当なし:L / PR:N / UI:N / S:U / C:該当なし:該当なし:H).
ハッカーは、自動化されたハッカーツールキットやプラットフォームでよく使用されるエクスプロイトコードを使用します. 自動化されたコマンドを使用して、犯罪者は数秒で数千のネットワークを標的にすることができます. 脆弱性の悪用の結果として、犯罪者はサーバーへのネットワークアクセスと、システムの制御を引き継ぐ能力を獲得する可能性があります. 興味深い事実は、従来の攻撃は通常、影響を受けるサーバーの制御を追い越すことに焦点を当てていますが、これは2つのMoneroマイナーに感染します。.
ダブルモネロマイナーのペイロードとその重要性
ダブルモネロマイナーを使用する戦術は、従来とは異なる方法で使用されるため、斬新です。. マシンがエクスプロイトコードの影響を受けた後、2つの別々のマイナーソフトウェアが被害者のデバイスにインストールされます. 最初のものはデフォルトオプションである64ビットバージョンであり、バックアップバリアントは32ビットコンパイル済み実行可能ファイルです. 最初のファイルの開始に失敗した場合、攻撃者はマルウェアにバックアップオプションを開始するように指示します. キャンペーンを分析することにより、セキュリティの専門家は、エクスプロイトコードのさまざまなバージョンが拡散していることを発見しました—別々のテストバージョンと最終バージョンがあります. これは、攻撃の背後にいる個々のハッカーまたは犯罪集団が、進行中の開発に積極的に関与していることを意味します.
MoneroMinersの実行パターン
脆弱性チェックに合格した後、感染が始まります. マルウェアスクリプトは、マイニング操作に関連する3つのファイルを侵入先のマシンにダウンロードします:
- Javaupd.exe —Javaランタイム環境の更新を装ったマイナーインスタンス (JRE) これは、Javaベースのアプリケーションを実行するためにコンピュータユーザーによってインストールされることがよくあります. 人気のあるアプリになりすますことで、ウイルスは発見をより困難にします。場合によっては、サービスの実行中に、より多くのハードウェアリソースを使用する可能性があるためです。.
- Startup.cmd —これは自動起動モジュールであり、 永続的な実行状態. マルウェアコードを自動的に起動し、他のアプリケーションがマイナーに干渉するのを防ぐために使用されます.
- 3.EXE —二次的な悪意のあるインスタンス.
Moneroマイナーに関連付けられた自動起動コンポーネントは、システムのスタートアップフォルダーに配置されます. その後、実行され、2つのスケジュールされたタスクを作成するPowershellコマンドを開始します:
- 最初のタスクは、ハッカーが管理するサイトからMoneroマイナーインスタンスの最新バージョンをダウンロードします. 文字列は、タスクの名前が次のようになっていることを示しています “Oracle Java Update” そして、すべてを実行するように設定されています 80 考えられるネットワークの問題を無効にするための分.
- 2番目のタスクの名前は “Oracle Java” 毎日実行し、最初のタスクが正常に完了したかどうかを確認するように設定されています.
タスクが完了した後、制御スクリプトはセカンダリペイロードを実行して適切なスクリプトを起動します (3.EXE). システムが64ビットバージョンまたは32ビットバージョンのコードを実行できるかどうかを確認してから、関連するファイルをダウンロードして実行します。. LogonUI.exeという名前の新しいファイルがダウンロードされます。このファイルはWindowsサービスとして登録され、 “Microsoftテレメトリ”. 適切なバージョン (32 または64ビット) マルウェア開始のこのフェーズ中にロードされます.
ダブルモネロマイナーの結果
セキュリティの専門家は、インストールされたMoneroマイナーが、被害者のコンピューターのパフォーマンスに非常に強力な影響を与える可能性があることに注意しています. 2つの別々のインスタンスがホストにインストールされているため、被害者はそれらすべてを効率的な方法で削除できない可能性があります. インストールの永続的な状態は、Windowsレジストリおよびオペレーティングシステムの構成オプションの変更にも関連している可能性があることを読者に思い出させます. このような変更は、手動の方法を使用して感染を除去することを非常に困難または不可能にする可能性があります. セキュリティアナリストは、Moneroマイナーが 情報収集 感染したホストをスキャンして他のマルウェアを検出する機能を備えたモジュール.
攻撃キャンペーンはまだ進行中であり、犯罪者の身元はまだ不明であるため. 更新されたバージョンは追加機能をもたらす可能性があると思われます, さらに危険なシステム変更を引き起こし、ペイロード配信メカニズムとしても使用される可能性があります.
高品質のスパイウェア対策ソリューションを利用することで、危険から身を守ることができることを読者に思い出させます。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法