Monero CryptoCurrency Miner Generates Profit for North Korea

にマーティン・ベルトフ | Last Update: 12月 29, 2022 | 0 コメントコメント

MoneroCryptoCurrencyMiner画像

セキュリティ研究者は、最近リリースされたMonero暗号通貨マイナーが生成された収入を北朝鮮の金日成総合大学に送ることを発見しました. 詳細なコード分析により、追加のコンポーネントも含めるように更新できることが明らかになりました.

MoneroCryptoCurrencyMinerが明らかに

Moneroマイナーウイルスを含む最初の大規模な攻撃の1つが報告されました 数ヶ月前. このようなマルウェアは通常、Monero暗号通貨をマイニングするために利用可能なシステムリソースを悪用します. 数か月前の攻撃は、エクスプロイトコードを使用したWindowsサーバーのエクスプロイトに焦点を当てていました. 脆弱性を介した侵入は、ディスペンスされたサンプルを拡散するための主要な戦術の1つでした.

最新のサンプルは、クリスマスイブの前後に編集されたようです 2017. 他の同様の脅威と比較して、わずかに異なる動作を特徴とすることがわかっています. 通常最も人気のあるもののいくつかである事前定義されたマイニングプールを使用する代わりに、コマンドおよび制御サーバーとの接続を確立しようとします. 分析によると、北朝鮮の金日成総合大学でホストされています。. 実際のマイナー自体がマイニングプールに接続し、暗号通貨のマイニングを開始します. ハッカーサーバーに到達できないことを示すネットワークアクセステストが行われました. その結果、採掘された通貨は犯罪者に転送されません.

MoneroCryptoCurrencyMinerの動作パターン

問題のMoneroマイナーは、ソフトウェアバンドルインストーラーとして広く配布されています. 通常、このような脅威はハッカーが制御するポータルに分散されます. ハッカーは有名なソフトウェアの人気のある無料または試用版を入手し、マイナーソフトウェアを含むようにそれらを変更します. 正確な構成によっては、被害者はセットアッププロセス中に特定のオプションのチェックを外すことでインストールを禁止できる場合があります. 感染源には、次のいずれかが含まれます:

偽造ダウンロードポータル —役立つソフトウェアを提供する合法的なサービスとして表示されるように設計されています.
電子メールメッセージ -それらはコンピュータの被害者に配布され、構成に応じてマルウェアファイルを添付またはリンクすることができます. 被害者を脅迫に陥らせるために、ソーシャルエンジニアリングの戦術が採用されています.
Webスクリプト —すべての形式の広告, リダイレクトとポップアップは危険なマルウェア感染につながる可能性があります.

ウイルスコードがデプロイされると、MoneroCryptoCurrencyMinerが起動します. そのファイル名は intelservice.exe これは、他のマイナーソフトウェアでよく使用される一般的な名前です。. 感染パターンをレビューしたアナリストによると、それはに基づいているようです xmrig 道具.

この特定のMonero暗号通貨マイナーの作成にはいくつかの可能性のあるケースがあります. シナリオの1つは、マイナーが閉じたローカルエリアネットワークで実行することを目的として設計されていることを示しています. コードのインターネットリリースが事件であった可能性があります.

ただし、Monero暗号通貨マイナーがシャットダウンサーバーを使用した単純なウイルスの脅威と見なされている場合. 最後に、考えられる3番目の原因は、セキュリティ研究者に対するいたずらです。.

関連記事: サイバー犯罪者がアルトコインのためにビットコインを捨てる理由

MoneroCryptoCurrencyMinerの詳細

この特定のMonero暗号通貨マイナーに関する起源と実際の意図についての推測は、見つかったサンプルが将来のマルウェアのバージョンをテストしている可能性があることを示唆しています. アナリストは、コードに偽のファイル名が含まれていることを検出しました。これはおそらく、採用可能なステルス保護メカニズムです。.

調査中に2つの類似したサンプルが特定されました. それらは、おそらく異なる作者によって作成された、関連するより単純なバージョンのようです。. それらのコードのいくつかは同じソースから発信されています.

これはすべて、地下のハッカー市場で元のソースを販売する可能性を示しています. 署名がセキュリティ研究者にまだ完全に知られていないという事実は、大規模な攻撃が実施された場合、将来の攻撃が損害を与える可能性があることを示しています.

さまざまなMonero暗号通貨マイナーを利用する以前の北朝鮮ベースの攻撃者は2つのハッキンググループです:

ブルーノロフ —このグループは、バングラデシュ銀行からの部分的に成功した侵入で有名になりました. 彼らはサーバーに侵入し、それらにウイルスをインストールすることができたので、多額の収入を生み出しました.
アンダリエル —このハッキンググループは、さまざまなMoneroマイナーも利用しています. 影響力の大きいターゲットは、非公開の韓国の大手企業でした. 彼らはまた、韓国国防部からの盗難にも責任があります.

北朝鮮のIP範囲は非常に限られているため、マルウェアの専門家は北朝鮮との間で出入りするビットコイン取引を追跡することができました。. 注目すべきアドレスの1つは、さまざまなビットコイン取引所で活発に取引されています. 過去にいくつかのハッキング攻撃に関与していました 2014/2015 コマンドおよび制御サーバーとして割り当てられた場所.

新たな攻撃の波は、ユーザーが高品質のスパイウェア対策ソリューションを使用する必要があることを改めて示しています。. コンピューターユーザーはシステムを無料でスキャンできます.

ダウンロード

マルウェア除去ツール

スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法