サイバーセキュリティレポート:新しいMonero Miningマルウェアが証明書ファイル内に隠れる

モネロマイニングチップ

暗号マイニングボットを隠す搾取的マルウェアの傾向は、過去数年で始まり、その1つになりました。 最も悪名高い人気のある方法 暗号通貨をマイニングするために他人の処理能力を活用すること。 最近、サイバーセキュリティ会社Trend Microが、 セキュリティ勧告 暗号通貨のマイニングに悪用される可能性があるOracle WebLogic Serverのシリアル化解除の脆弱性に関する情報。

4月には、トレンドマイクロはハードウェアの脆弱性(「CVE-2019-2019」と呼ばれる)を悪用してMonero暗号通貨マイニングマルウェアをインストールする一連の攻撃を検出しました。 レポートはSANS ISC InfoSecにも表示されました。 フォーラムこれは、すでにMoneroマイニングマルウェアを指しています。 トレンドマイクロのサイバーセキュリティ技術から確認を得た後、Moneroマルウェアは、難読化策として悪意のあるコードを証明書ファイルに隠していることが明らかになりました。

トレンドマイクロの発見によると、Moneroマルウェアキャンペーンは、被害者のコンピュータ上のCVE-2019-2725脆弱性を標的とすることから始まります。 その後、マルウェアはそれを悪用して、一連のソフトウェアルーチンを実行するためのコマンドを実行します。

Monero Mining Malwareを使って技術を習得する

まず、PowerShellスクリプトを使用して、コマンド&コントロール(C&C)サーバーから証明書ファイルをダウンロードし、ファイル名cert.cerを使用してそれを%APPDATA%の下に保存します。

その後、CertUtilを有効にします。これは、証明書ファイルを復号化して最終的にWindowsでPowerShellコマンドを表示し、ファイルを復号化するコンポーネントです。 このリソースは、メモリから別のPowerShellスクリプトをダウンロードして実行し、次にさまざまなファイルをダウンロードして実行します。

ダウンロード可能なファイルには、Sysupdate.exe、Moneroマイナーのペイロード、Config.json、XMRマイナーの設定ファイル、Networkservice.exe(WebLogicの伝播と悪用に使用される可能性がある)、ウォッチドッグとして機能するSysguard .exeが含まれます。マイナープロセスの場合は、Update.ps1、30秒ごとに実行するPowerShellスクリプト、および他のコンポーネントを削除するためのClean.batです。

最初のMonero Miningマルウェアではありません

ここ数ヶ月のうちにMoneroマルウェアに関して報告されたのはこれだけではありません。 以前、トレンドマイクロは、XMRig MoneroマイニングマルウェアをインストールするためにEternalBlueとDoublePulsarを含む8つの悪名高い脆弱性を悪用することができる全く新しいマルウェア、BlackSquidを発見しました。 5月に行われたNansh0u暗号マイニングキャンペーンは、脆弱性を悪用することによって2019を超えるサーバーに感染しました。

トレンドマイクロの公式ブログ記事では、これらのマルウェアを駆除するためのいくつかの方法と、それらを防御する方法も提案されています。 このソリューションには、独自のマルウェア対策と、ユーザーが気を付けるべきその他の注意事項がいくつか含まれています。

この記事についてどう思いますか?

共有は気にしています: