Doctor Webのウイルスアナリストはテレメトリデータの分析中にマルウェアサンプルを特定し、詳細な調査を行った結果、それらは仮想通貨Moneroをマイニングするアクティブなキャンペーンに使用されているコンポーネントであることが明らかになりました。このキャンペーンは一連のマルウェアチェーンとして実行されているという点で際立っています。そのうちの2つはBMP画像ファイルから悪意のあるペイロードを抽出するスクリプトの実行をベースに構成されています。
###
このキャンペーンは悪意のあるVBscriptを実行する.NETアプリケーション Services.exe がDoctor Webのアナリストによって初めて発見された2022年に始まったものとみられます。このスクリプトは、攻撃者のサーバーに接続して応答として送信されたスクリプトとファイルを実行するバックドアとして機能します。その結果として、拡張子がps1からtxtに変更されたPowerShellスクリプトである悪意のあるファイル ubr.txt が被害者のコンピューター上にダウンロードされていました。
ubr.txt スクリプトは、侵害したマシン上に仮想通貨マイナーがインストールされているかどうかをチェックし、マイナーが存在した場合はそれを攻撃者のものに置き換えます。ここで ubr.txt スクリプトによってインストールされていたのは、ハッカーが仮想通貨Moneroをマイニングするために使用するマイナーSilentCryptoMinerとその設定でした。
Doctor Webでは、このマイナーが使用された攻撃についてこれまでにも記事を掲載しています。SilentCryptoMinerは、その設定の容易さ、異なる種類の仮想通貨をマイニングし診断ユーティリティによる検知を逃れる高度な機能、そしてボットネット内のすべてのマイナーをWebパネルからリモート管理できるという特徴によって攻撃者を惹きつけています。
この続きは以下をご覧ください
(リンク »)
このキャンペーンは悪意のあるVBscriptを実行する.NETアプリケーション Services.exe がDoctor Webのアナリストによって初めて発見された2022年に始まったものとみられます。このスクリプトは、攻撃者のサーバーに接続して応答として送信されたスクリプトとファイルを実行するバックドアとして機能します。その結果として、拡張子がps1からtxtに変更されたPowerShellスクリプトである悪意のあるファイル ubr.txt が被害者のコンピューター上にダウンロードされていました。
ubr.txt スクリプトは、侵害したマシン上に仮想通貨マイナーがインストールされているかどうかをチェックし、マイナーが存在した場合はそれを攻撃者のものに置き換えます。ここで ubr.txt スクリプトによってインストールされていたのは、ハッカーが仮想通貨Moneroをマイニングするために使用するマイナーSilentCryptoMinerとその設定でした。
Doctor Webでは、このマイナーが使用された攻撃についてこれまでにも記事を掲載しています。SilentCryptoMinerは、その設定の容易さ、異なる種類の仮想通貨をマイニングし診断ユーティリティによる検知を逃れる高度な機能、そしてボットネット内のすべてのマイナーをWebパネルからリモート管理できるという特徴によって攻撃者を惹きつけています。
この続きは以下をご覧ください
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
