アジアのクラウドコンピューティングサービスプロバイダーは現在、暗号通貨のマイニングに使用されるコンピューティングパワーを盗むために設計されたCoinStompマルウェア攻撃の標的になっています。 CoinStomp マルウェアによって展開されるサイバー攻撃手法には、タイムスタンプ (ファイルのタイムスタンプの変更)、システム暗号化ポリシーの削除、リバース シェルを使用してマルウェアとのコマンド アンド コントロール通信を開始することが含まれます。 「コインストンプは過去のクリプトジャッキング攻撃でもタイムスタンプを使用していた。しかし、これは一般的な手法ではない。被害者側による捜査や修復の取り組みを妨害するための反フォレンジック手段としてよく使用される」と、クラウドネイティブのサイバーフォレンジックおよび対応プラットフォームを提供するカド・セキュリティの研究員マット・ミューア氏は、同社が公開した投稿で述べた。 Cybellum のセキュリティ研究者兼開発者である Gal Lapid 氏は、攻撃者は重要なファイルを頻繁に変更すると説明した。 「多くの場合、これらのファイルは、同時に生成された多くのファイルを含むフォルダに配置されており、1 つのファイルが「適合しない」(最近変更された) 場合、警戒すべき事態となる可能性があります」と同氏は述べた。 「これにより、攻撃者はフォルダ内の他のファイルのタイムスタンプをコピーして検出を回避できます。」 マルウェアが暗号化ポリシーファイルを削除するバルカン・サイバーのサイバーセキュリティエンジニア、マイク・パーキン氏は、一部のAPTグループがツールキットにタイムスタンプ操作機能を備えていると指摘した。 「これは難解な技術ではない」と彼は言った。 CoinStomp マルウェアは、システム上の暗号化ポリシー ファイルを削除したり、暗号化プロセスを終了するコマンドも発行します。 「明らかに、暗号化ポリシーの施行はマルウェアの展開に具体的な影響を及ぼす」とCado SecurityのMuir氏は書いている。 「悪意のあるアプリケーションが安全でないプロトコルを使用している場合、暗号化ポリシーによって追加のペイロードのダウンロードが防止され、悪意のあるアプリケーションの実行も防止される可能性があります。」 CoinStompグループはクラウドコンピューティング技術に精通しているマルウェアにコマンドと制御を発行するために、CoinStomp ギャングは Linux システム上の /dev/tcp ファイルを使用してリバース シェルを作成しました。 「ほとんどの Linux ディストリビューションは、/dev/tcp デバイス ファイルを介してリモート ホストへの読み取り/書き込み操作をサポートしています」と Muir 氏は説明します。 「もちろん、これはマルウェア開発者にとって最適です。リバースシェルや C2 通信チャネルを簡単にネイティブにサポートされた方法で作成できるからです。」 「/dev/tcp は Linux 固有のものであり、他のコンピュータと通信するように設計されているため、サイバー攻撃者はそのファイルを悪用して、HTTP などの一般的な予想されるネットワーク トラフィックとして偽装することができます」と、サードパーティのリスク管理用のツールと認証を提供する企業連合である North American Shared Assessments Steering Committee の議長、Nasser Fattah 氏は付け加えました。 ミュア氏は、CoinStomp ギャング団はクラウド セキュリティの分野におけるサイバー攻撃者の洗練度と専門知識を実証していると考えています。 「反フォレンジック技術の使用と、暗号化ポリシーの削除による標的マシンのセキュリティの弱体化は、攻撃者が Linux のセキュリティ対策について知っているだけでなく、インシデント対応プロセスを理解していることも示している」と彼は書いている。 Linuxでの検出方法を熟知Muir 氏は、/dev/tcp を使用して通信用のリバース シェルを作成するのも高度なテクニックであると付け加えました。 「C2通信は通常ノイズが多く、監視ツールで簡単に検出されます。しかし、ポート443を使用すると、このトラフィックが正当なものに見えやすくなります」と彼は指摘した。 アークティック・ウルフの最高技術責任者イアン・マクシェーン氏は、CoinStomp は珍しいサイバー攻撃だと考えている。 「リバースシェルの使用と一般的なセキュリティ制御を回避する能力により、CoinStompグループはLinux上でのセキュリティ検出の仕組みを熟知しており、必ずしもインターネット通信に開放されていないインフラを標的にすることができる」と彼は述べた。 Valtixの主任セキュリティ研究者デイビス・マッカーシー氏は、「CoinStompグループは先見性があり、遭遇する可能性のあるあらゆるセキュリティ制御を克服するために高度な技術を使っている」と付け加えた。 |
<<: BigQuery と Snowflake の究極ガイド
>>: 企業が直面するハイブリッドクラウドのセキュリティ上の 5 つの課題
プログラマーに関して言えば、残業と高給は、ソフトウェア開発者に常に連想される 2 つのイメージです。...
フレンドリー リンクは、変更方法はもちろん、どこを変更すればよいのかもわからないため、多くのウェブマ...
360総合検索は、前回の3Bサイト事件以降、沈静化しているようで、大きなニュースは漏れていません。3...
ウェブサイトの内部ページは含まれていますが、ホームページは Baidu スナップショットから消えます...
ramnodeはどうですか? ramnode シアトルはどうですか?西海岸のシアトルは今でも国内ユー...
私は長年 SEO 業務に携わっており、検索エンジン最適化についてある程度理解しています。私は主に機械...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますウェブサイ...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますウェブサイ...
広告業界では、oCPM 広告モデルやインセンティブ動画広告、もちろん現在のヘッダー入札やオープン入札...
Virmach の AMD Ryzen シリーズは、多くのコンピューター ルームに導入されています。...
イェ・チン注:この記事は、知乎に掲載された「10年で3000万ドルを稼ぐ確実な方法とは?」という質問...
北京時間2月9日、eBay CEOのジョン・ドナホー氏は、かつて栄華を誇ったeBayを驚異的な復活へ...
現在、多くのメディアがニュースソース ソフト テキスト マーケティングを開始しています。これは、ニュ...
なぜあなたのサイトは消費者にとって魅力がないのでしょうか?なぜあなたのサイトのコンバージョン率はこん...
Rackhostはホストキャットに2回登場しました。2002年から運営しているこのホスティング業者(...