サイバーセキュリティ企業ダークトレースは、Windows Defenderを回避し、暗号資産マイニングソフトウェアを展開するように設計された新しい暗号資産ジャッキングキャンペーンを特定しました。概要* Darktraceは、Windowsシステムを標的とする暗号資産ジャッキングキャンペーンを特定しました。* このキャンペーンでは、暗号資産をマイニングするためにNBminerをこっそり展開します。暗号資産ジャッキングキャンペーンは、7月下旬に最初に特定され、暗号資産をマイニングするためにコンピュータの処理能力を静かにハイジャックするマルチステージ感染チェーンが含まれていると、Darktraceの研究者Keanna GrelichaとTara Gouldがcrypto.newsと共有された報告書で説明しました。研究者によると、このキャンペーンは、悪意のある行為者が悪意のあるスクリプトを実行し、ホストシステムへの特権アクセスを得ることができる、Microsoftの組み込みコマンドラインシェルおよびスクリプト言語であるPowerShellを悪用することで、特にWindowsベースのシステムを標的にしている。これらの悪意のあるスクリプトは、システムメモリ(RAM)上で直接実行されるように設計されており、その結果、通常、システムのハードドライブ上のファイルをスキャンすることに依存する従来のアンチウイルスツールでは、悪意のあるプロセスを検出できません。その後、攻撃者はAutoItプログラミング言語を使用します。これは通常、IT専門家がタスクを自動化するために使用するWindowsツールで、正当なWindowsプロセスに悪意のあるローダーを注入し、その後、システム上に明らかな痕跡を残さずに暗号資産マイニングプログラムをダウンロードして実行します。追加の防御手段として、ローダーはサンドボックス環境の兆候をスキャンしたり、ホストにインストールされているアンチウイルス製品を検査したりする一連の環境チェックを実行するようにプログラムされています。実行は、Windows Defenderが唯一のアクティブな保護である場合にのみ進行します。さらに、感染したユーザーアカウントに管理者権限がない場合、プログラムは昇格したアクセスを取得するためにユーザーアカウント制御のバイパスを試みます。これらの条件が満たされると、プログラムは、Ravencoin (RVN)やMonero (XMR)などの暗号資産をマイニングするためにコンピュータのグラフィックスプロセッシングユニットを使用する、よく知られた暗号資産マイニングツールであるNBMinerをダウンロードして実行します。この場合、Darktraceは自律的応答システムを使用して攻撃を抑制することができ、「デバイスが外部接続を行うことを防ぎ、疑わしいエンドポイントへの特定の接続をブロックしました。」「暗号資産が人気を集め続ける中、執筆時点でのグローバルな暗号資産市場の時価総額が(ほぼ4兆USDに達していることが示すように、脅威の行為者は暗号資産マイニングを利益の出る事業と見なすでしょう」とDarktraceの研究者たちは書いています。# 暗号資産ジャッキングキャンペーンによるソーシャルエンジニアリング7月に、Darktraceは別のキャンペーンを警告しました。そこでは悪意のある行為者が、実際の企業になりすますなどの複雑なソーシャルエンジニアリング手法を使用して、ユーザーを騙して暗号資産を盗むマルウェアを展開する改変されたソフトウェアをダウンロードさせていました。前述の暗号資産ジャッキングスキームとは異なり、このアプローチはWindowsとmacOSシステムの両方をターゲットにしており、被害者自身が企業の内部者とやり取りしていると信じていたため、知らず知らずのうちに実行されました。
ダークトレースは、Windows Defenderを回避できる新しい暗号資産ジャッキングキャンペーンを警告しています。
サイバーセキュリティ企業ダークトレースは、Windows Defenderを回避し、暗号資産マイニングソフトウェアを展開するように設計された新しい暗号資産ジャッキングキャンペーンを特定しました。
概要
暗号資産ジャッキングキャンペーンは、7月下旬に最初に特定され、暗号資産をマイニングするためにコンピュータの処理能力を静かにハイジャックするマルチステージ感染チェーンが含まれていると、Darktraceの研究者Keanna GrelichaとTara Gouldがcrypto.newsと共有された報告書で説明しました。
研究者によると、このキャンペーンは、悪意のある行為者が悪意のあるスクリプトを実行し、ホストシステムへの特権アクセスを得ることができる、Microsoftの組み込みコマンドラインシェルおよびスクリプト言語であるPowerShellを悪用することで、特にWindowsベースのシステムを標的にしている。
これらの悪意のあるスクリプトは、システムメモリ(RAM)上で直接実行されるように設計されており、その結果、通常、システムのハードドライブ上のファイルをスキャンすることに依存する従来のアンチウイルスツールでは、悪意のあるプロセスを検出できません。
その後、攻撃者はAutoItプログラミング言語を使用します。これは通常、IT専門家がタスクを自動化するために使用するWindowsツールで、正当なWindowsプロセスに悪意のあるローダーを注入し、その後、システム上に明らかな痕跡を残さずに暗号資産マイニングプログラムをダウンロードして実行します。
追加の防御手段として、ローダーはサンドボックス環境の兆候をスキャンしたり、ホストにインストールされているアンチウイルス製品を検査したりする一連の環境チェックを実行するようにプログラムされています。
実行は、Windows Defenderが唯一のアクティブな保護である場合にのみ進行します。さらに、感染したユーザーアカウントに管理者権限がない場合、プログラムは昇格したアクセスを取得するためにユーザーアカウント制御のバイパスを試みます。
これらの条件が満たされると、プログラムは、Ravencoin (RVN)やMonero (XMR)などの暗号資産をマイニングするためにコンピュータのグラフィックスプロセッシングユニットを使用する、よく知られた暗号資産マイニングツールであるNBMinerをダウンロードして実行します。
この場合、Darktraceは自律的応答システムを使用して攻撃を抑制することができ、「デバイスが外部接続を行うことを防ぎ、疑わしいエンドポイントへの特定の接続をブロックしました。」
「暗号資産が人気を集め続ける中、執筆時点でのグローバルな暗号資産市場の時価総額が(ほぼ4兆USDに達していることが示すように、脅威の行為者は暗号資産マイニングを利益の出る事業と見なすでしょう」とDarktraceの研究者たちは書いています。
暗号資産ジャッキングキャンペーンによるソーシャルエンジニアリング
7月に、Darktraceは別のキャンペーンを警告しました。そこでは悪意のある行為者が、実際の企業になりすますなどの複雑なソーシャルエンジニアリング手法を使用して、ユーザーを騙して暗号資産を盗むマルウェアを展開する改変されたソフトウェアをダウンロードさせていました。
前述の暗号資産ジャッキングスキームとは異なり、このアプローチはWindowsとmacOSシステムの両方をターゲットにしており、被害者自身が企業の内部者とやり取りしていると信じていたため、知らず知らずのうちに実行されました。