仮想通貨の無断マイニング
サイバーセキュリティ会社のトレンドマイクロは、証明書ファイルを暗号化を手法として使用しながら、攻撃者がオラクルウェブロジックサーバーの脆弱性を悪用してmonero(XMR/モネロ)マイニングマルウェアをインストールしていることを確認しています。そのニュースは6月10日に公開されたトレンドマイクロのブログ記事で明らかにされた。
以前に報告されたように、ステルス暗号化マイニングの形式は、業界用語の暗号化ジャッキとも呼ばれます - 所有者の同意または知識なしで暗号通貨を狙うためにコンピュータの処理能力を使用するマルウェアをインストールする習慣。
トレンドマイクロの投稿によると、シリアライズ解除エラーが原因で報告されているの脆弱性(オラクルウェブロジック「CVE-2019-2725」)のセキュリティパッチが、今春初めに全国の脆弱性データベースで公開されました。
しかし、トレンドマイクロは、この脆弱性はすでに暗号化の目的で悪用されていると主張するSANS ISC InfoSecフォーラムでの報告を引用し、その主張を検証および分析したことを確認しています。
同社は、確認された攻撃は「興味深い工夫」と表現したものを展開した、つまり「マルウェアは難読化策として証明書ファイルに悪意のあるコードを隠している」と述べています。
「マルウェアを隠すために証明書ファイルを使用するという考えは新しいものではありません。暗号化の目的で証明書ファイルを使用することによって、ダウンロードされたファイルは 通常はHTTPS接続を確立する場合は特にそうです。」
トレンドマイクロの分析は、このマルウェアがCVE-2019-2725を悪用してパワーシェルコマンドを実行し、コマンドアンドコントロールサーバから証明書ファイルをダウンロードするように促すことから始まります。
XMRマイナーペイロードのインストールなど、その手順と特性を追跡し続けた結果、Micro Trendは現在の展開における明らかな異常に対して警戒してます。
復号化された証明書ファイルからPSコマンドが実行されると、他の悪意のあるファイルは前述の証明書ファイル形式で隠されることなくダウンロードされます。 これは、暗号化手法が現在その有効性についてテストされていることを示している可能性があります。後日、他のマルウェアの亜種への拡大が見込まれています。」
