新たなクリプトジャッキングキャンペーンの発見
サイバーセキュリティ企業Darktraceは、Windows Defenderを回避し、暗号通貨マイニングソフトウェアを展開する新たなクリプトジャッキングキャンペーンを特定しました。このキャンペーンは、2023年7月下旬に初めて確認され、コンピュータの処理能力を静かにハイジャックして暗号通貨をマイニングする多段階の感染チェーンを含んでいます。
キャンペーンの詳細
Darktraceの研究者であるKeanna GrelichaとTara Gouldは、crypto.newsと共有した報告書の中でこのキャンペーンの詳細を説明しています。研究者によると、このキャンペーンは特にWindowsベースのシステムをターゲットにしており、Microsoftの組み込みコマンドラインシェルおよびスクリプト言語であるPowerShellを悪用しています。
これにより、悪意のある行為者は悪意のあるスクリプトを実行し、ホストシステムへの特権アクセスを得ることができます。
これらの悪意のあるスクリプトは、システムメモリ(RAM)上で直接実行されるように設計されているため、従来のアンチウイルスツールでは悪意のあるプロセスを検出できません。
攻撃手法と防御策
攻撃者は、IT専門家がタスクを自動化するために通常使用するWindowsツールであるAutoItプログラミング言語を使用して、正当なWindowsプロセスに悪意のあるローダーを注入し、明らかな痕跡を残さずに暗号通貨マイニングプログラムをダウンロードして実行します。
追加の防御策として、ローダーはサンドボックス環境の兆候をスキャンし、インストールされたアンチウイルス製品をホストで検査するなど、一連の環境チェックを実行するようにプログラムされています。実行は、Windows Defenderが唯一のアクティブな保護である場合にのみ進行します。
さらに、感染したユーザーアカウントに管理者権限がない場合、プログラムは昇格されたアクセスを得るためにユーザーアカウント制御のバイパスを試みます。これらの条件が満たされると、プログラムはNBMinerをダウンロードして実行します。これは、コンピュータのグラフィックス処理ユニットを使用してRavencoin(RVN)やMonero(XMR)などの暗号通貨をマイニングすることで知られるツールです。
Darktraceの対応と市場の状況
この場合、Darktraceは自律応答システムを使用して攻撃を封じ込め、「デバイスが外部接続を行うのを防ぎ、疑わしいエンドポイントへの特定の接続をブロックする」ことによって攻撃を防ぎました。
「暗号通貨が人気を増し続けている中で、現在のグローバル暗号通貨市場の時価総額(執筆時点で約4兆USD)の高評価が示すように、脅威行為者はクリプトマイニングを利益のある事業と見なすでしょう」とDarktraceの研究者は述べています。
7月には、Darktraceは、悪意のある行為者が実在の企業を装ってユーザーを騙し、暗号を盗むマルウェアを展開する改変されたソフトウェアをダウンロードさせるために複雑なソーシャルエンジニアリング戦術を使用している別のキャンペーンを警告しました。前述のクリプトジャッキングスキームとは異なり、このアプローチはWindowsとmacOSの両方のシステムをターゲットにしており、企業の内部者とやり取りしていると信じている無知な被害者自身によって実行されました。
