高度な技術を持つ謎のハッカー集団が、サイバースパイの世界でよく知られた戦術を使って、マルウェアのマイニングを通じて数百万ドルを稼いでいる。
カスペルスキー研究所の研究者らは、サイバー犯罪者がマイニングソフトウェアをインストールするために標的型攻撃から借用した感染方法や技術を使い始めていると報告している。
セキュリティソフトウェア会社の推計によると、最も成功したこうしたグループが昨年、わずか6か月間で被害者を搾取して少なくとも500万ポンドを稼いだという。
マイナー対マイナー: 攻撃スクリプトは競合する通貨エクスプロイトを探し出して破壊する
続きを読む
このグループは、高度な持続的脅威(APT)型の手法とツールを用いて、ユーザーのデバイスにマイナーを感染させています。この手法は、マルウェアやAPT攻撃者による標的型攻撃でよく見られるプロセスホロウイング(PHL)ですが、マイニング攻撃ではこれまで確認されていません。
潜在的な被害者は、隠れマイナーを含んだソフトウェアをダウンロード・インストールするよう誘われます。インストーラーは正規のWindowsユーティリティをドロップすると同時に、暗号資産マイニングマルウェアを密かにインストールします。
実行後、正当なシステムプロセスが開始されますが、このプロセスのコードはすぐに悪意のあるものに変わります。その結果、マイナーは正当なタスクを装って動作するため、被害者が何か異常に気付く可能性は大幅に低くなります。研究者によると、この戦術によってセキュリティソフトウェアでさえも検知できなくなる可能性があるとのことです。
高度なマイニングマルウェアの感染チェーン
プロセスホローイングの例 [両方の図は Kaspersky Lab のブログ投稿より]
ユーザーがプロセスを停止しようとすると、コンピュータシステムは再起動します。この戦術の組み合わせにより、マイニングマルウェアが感染したシステムに長く留まる可能性が高まり、犯罪者が金儲けできる可能性が高まります。
こうした戦術の背後にいるハッカーグループは、エレクトロニウムコインを採掘し、2017年後半には約500万ポンドを稼いだ。これはランサムウェア作成者が稼いでいた金額に匹敵する。
立ち上がれ、鉱夫たちよ
2017年9月以降、Kaspersky Labは、サイバー犯罪の手段としてランサムウェアを凌駕しつつあるマイナーの増加を記録しました。ランサムウェアとは異なり、クリプトジャッキングはユーザーのデバイスに破壊的な被害を与えることはなく、PCのCPUとGPUのパワーを密かに利用することで、長期間にわたり検知されずに潜伏することが可能です。
マイナービルダー、オープンマイナープール、そしてパートナープログラムの普及により、スキルの低い犯罪者でさえ、増大するマイナーの脅威から利益を得ることが容易になっています。Kaspersky Labの報告によると、脅威アクターが使用する最も一般的なマイナーツールはNanopoolです。
「ランサムウェアは影を潜め、代わりにマイナーが台頭しつつあると見ています」と、カスペルスキー研究所の主任マルウェアアナリスト、アントン・イワノフ氏は述べています。「これは、当社の統計データからも裏付けられています。統計データでは、マイナーは年間を通して着実に増加しています。また、サイバー犯罪グループが積極的に手法を開発しており、既により高度な手法を用いてマイニングソフトウェアを拡散し始めているという事実からも明らかです。」
「私たちはすでにそのような進化を目撃しています。ランサムウェアハッカーは、勢力を拡大していたころに同じ手口を使っていました。」
カスペルスキー研究所のデータによると、2017年には全体で270万人のユーザーが悪意のあるマイナーによる攻撃を受けました。これは、同社が記録した2016年のユーザーへの攻撃件数187万件と比較して、前年比50%の増加となります。
アドウェア、クラックされたゲーム、海賊版ソフトウェアなどは、サイバー犯罪者が密かにPCに仮想通貨マイニングマルウェアを感染させるために利用されてきました。感染したウェブページに含まれる特殊なコードを使ったウェブマイニングも増加しています。最も広く利用されたウェブマイナーはCoinHiveで、多くの人気ウェブサイトで発見されました。®
