2025年1月27日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストはテレメトリデータの分析中にマルウェアサンプルを特定し、詳細な調査を行った結果、それらは仮想通貨Moneroをマイニングするアクティブなキャンペーンに使用されているコンポーネントであることが明らかになりました。このキャンペーンは一連のマルウェアチェーンとして実行されているという点で際立っています。そのうちの2つはBMP画像ファイルから悪意のあるペイロードを抽出するスクリプトの実行をベースに構成されています。

このキャンペーンは悪意のあるVBscriptを実行する.NETアプリケーション Services.exe がDoctor Webのアナリストによって初めて発見された2022年に始まったものとみられます。このスクリプトは、攻撃者のサーバーに接続して応答として送信されたスクリプトとファイルを実行するバックドアとして機能します。その結果として、拡張子がps1からtxtに変更されたPowerShellスクリプトである悪意のあるファイル ubr.txt が被害者のコンピューター上にダウンロードされていました。

ubr.txt スクリプトは、侵害したマシン上に仮想通貨マイナーがインストールされているかどうかをチェックし、マイナーが存在した場合はそれを攻撃者のものに置き換えます。ここで ubr.txt スクリプトによってインストールされていたのは、ハッカーが仮想通貨Moneroをマイニングするために使用するマイナーSilentCryptoMinerとその設定でした。

Doctor Webでは、このマイナーが使用された攻撃についてこれまでにも記事を掲載しています。SilentCryptoMinerは、その設定の容易さ、異なる種類の仮想通貨をマイニングし診断ユーティリティによる検知を逃れる高度な機能、そしてボットネット内のすべてのマイナーをWebパネルからリモート管理できるという特徴によって攻撃者を惹きつけています。

このキャンペーンでは、マイナーファイルはWeb会議アプリケーションZoom（ ZoomE.exe および ZoomX.exe ）やWindowsサービス（ Service32.exe および Service64.exe ）などのさまざまなソフトウェアのコンポーネントに偽装していました。これら悪意のあるファイルには複数のセットがあり異なる名前が付いていますが、それらはすべて同じタスク（他のマイナーを削除、新しいマイナーをインストール、インストールしたマイナーにアップデートを配信）を実行します。

PowerShellスクリプトであるubr.txt

さらに、マイナーは仮想通貨のマイニング設定を含んだ m.txt ファイルをホストする getcert[.]net ドメインにアクセスします。このドメインは他の感染チェーンでも使用されています。

m.txtファイルに含まれているマイナーの設定

キャンペーンが進行するうちに、その攻撃手法はより興味深いものへと変化していきました。すなわち、ステガノグラフィが組み込まれるようになったのです。

ステガノグラフィは、ある情報を別の情報の中に埋め込んで隠す手法です。暗号化されたデータが目を引く可能性のある暗号化手法と異なり、ステガノグラフィは情報を画像などの中に目立たず密かに隠蔽することが可能です。多くのサイバーセキュリティエキスパートは、防御を回避する目的で今後ステガノグラフィが多く使用されるようになると考えています。

左の画像（出典：Marek Piwnicki）にはDr.Webロゴの画像が隠されている

より新しい2つ目の攻撃チェーンではPowerShellスクリプト Async.ps1 を実行するAmadeyトロイの木馬が使用されています。このスクリプトは正規の画像ホスティングサイト imghippo.com からBMP画像をダウンロードし、ステガノグラフィアルゴリズムによってそれらの画像から2つの実行ファイルが抽出されます。スティーラー Trojan.PackedNET.2429 と、以下の動作を実行するペイロードです。

• 管理者のUACプロンプトを無効にする
• 組み込みのウイルス対策機能Windows Defenderに多数の除外を追加する
• Windowsの通知を無効にする
• \Microsoft\Windows\WindowsBackup\に「User」という名前の新しいタスクを作成する

Async1.psスクリプトの内容

タスクは実行中に攻撃者のドメインにアクセスし、このドメインのDNS TXTレコードにペイロードへのアドレスが含まれています。BMP画像を含むアーカイブがダウンロードされた後に解凍され、以下のファイルが実行されます。

• Cleaner.txt：他のすべてのマイナーを削除するPowerShellスクリプト。

• m.txt：m.Bmp画像と IV.Bmp画像からペイロードを抽出するPowerShellスクリプト。画像内に隠されているペイロードはSilentCryptoMinerとそれを実行するインジェクターです。

• Net.txt：ドメインwindowscdn[.]siteとbuyclients[.]xyzからDNS TXTレコードを読み込むスクリプト。このレコードにはペイロードへのリンクraw.githack[.]comが含まれています。

DNS TXTレコードは標準的なDNSレコードを拡張したもので、ドメインの検証に役立つデータが含まれています。ただし、今回のケースでペイロードリンクが含まれていたように、ドメイン所有者はそこにあらゆるデータを含めることが可能です。

悪意のある画像を含むアーカイブの内容

マイナーのモジュールは絶えず進化を続けています。最近では、悪意のある画像のホスティング先に正規リソースが、そしてペイロードの保存先にGitHubプラットフォームが使用されるようになっています。さらに、マルウェアがサンドボックスや仮想マシン内で実行されていないかどうかをチェックするモジュールも確認されています。

実行中のアプリケーションの名前を、サイバーセキュリティリサーチャーによって一般的に使用されるツールの名前と照らし合わせてチェックするモジュール

マイナーの設定内で発見されたウォレットの1つは2022年5月に作成されたもので、これまでに340 XMRが入金されています。現在、仮想通貨Moneroの為替レートには大幅な変動がみられるため、実際に攻撃者が手にする利益は65,000～70,000米ドルになると考えられます。ハッシュレートカーブが波形を描いていることから、ボットネットが定期的にオンとオフを繰り返していることが分かり、このマイニングキャンペーンには主に同じタイムゾーンにいる一般のユーザーが関わっているものと考えられます。平均ハッシュレートは1秒あたり330万ハッシュで、侵害されたマシンは約40時間ごとに1XMRの利益を攻撃者にもたらしていることになります。

このキャンペーンはステガノグラフィを用いたサイバー脅威における氷山の一角にすぎず、デジタル空間で常に警戒を怠らないことの重要性を改めて強調するものです。Doctor Webからの推奨事項はこれまでと変わりません。信頼できるソースからのみソフトウェアをインストールし、疑わしいリンクをクリックせず、インターネットからファイルをダウンロードする際はアンチウイルス保護を無効にしないようにしてください。

攻撃チェーン

Indicators of compromise(侵害の痕跡) ※英語

SilentCryptoMinerの詳細 ※英語

PowerShell.Starter.98の詳細 ※英語

PowerShell.DownLoader.1640の詳細 ※英語

Trojan.PackedNET.2429の詳細 ※英語

VBS.DownLoader.2822の詳細 ※英語