アジアのクラウドプロバイダーが暗号通貨マイニングマルウェアの標的に

アジアのクラウドプロバイダーが暗号通貨マイニングマルウェアの標的に

アジアのクラウドコンピューティングサービスプロバイダーは現在、暗号通貨のマイニングに使用されるコンピューティングパワーを盗むために設計されたCoinStompマルウェア攻撃の標的になっています。 CoinStomp マルウェアによって展開されるサイバー攻撃手法には、タイムスタンプ (ファイルのタイムスタンプの変更)、システム暗号化ポリシーの削除、リバース シェルを使用してマルウェアとのコマンド アンド コントロール通信を開始することが含まれます。

「コインストンプは過去のクリプトジャッキング攻撃でもタイムスタンプを使用していた。しかし、これは一般的な手法ではない。被害者側による捜査や修復の取り組みを妨害するための反フォレンジック手段としてよく使用される」と、クラウドネイティブのサイバーフォレンジックおよび対応プラットフォームを提供するカド・セキュリティの研究員マット・ミューア氏は、同社が公開した投稿で述べた。

Cybellum のセキュリティ研究者兼開発者である Gal Lapid 氏は、攻撃者は重要なファイルを頻繁に変更すると説明した。 「多くの場合、これらのファイルは、同時に生成された多くのファイルを含むフォルダに配置されており、1 つのファイルが「適合しない」(最近変更された) 場合、警戒すべき事態となる可能性があります」と同氏は述べた。 「これにより、攻撃者はフォルダ内の他のファイルのタイムスタンプをコピーして検出を回避できます。」

マルウェアが暗号化ポリシーファイルを削除する

バルカン・サイバーのサイバーセキュリティエンジニア、マイク・パーキン氏は、一部のAPTグループがツールキットにタイムスタンプ操作機能を備えていると指摘した。 「これは難解な技術ではない」と彼は言った。

CoinStomp マルウェアは、システム上の暗号化ポリシー ファイルを削除したり、暗号化プロセスを終了するコマンドも発行します。 「明らかに、暗号化ポリシーの施行はマルウェアの展開に具体的な影響を及ぼす」とCado SecurityのMuir氏は書いている。 「悪意のあるアプリケーションが安全でないプロトコルを使用している場合、暗号化ポリシーによって追加のペイロードのダウンロードが防止され、悪意のあるアプリケーションの実行も防止される可能性があります。」

CoinStompグループはクラウドコンピューティング技術に精通している

マルウェアにコマンドと制御を発行するために、CoinStomp ギャングは Linux システム上の /dev/tcp ファイルを使用してリバース シェルを作成しました。 「ほとんどの Linux ディストリビューションは、/dev/tcp デバイス ファイルを介してリモート ホストへの読み取り/書き込み操作をサポートしています」と Muir 氏は説明します。 「もちろん、これはマルウェア開発者にとって最適です。リバースシェルや C2 通信チャネルを簡単にネイティブにサポートされた方法で作成できるからです。」

「/dev/tcp は Linux 固有のものであり、他のコンピュータと通信するように設計されているため、サイバー攻撃者はそのファイルを悪用して、HTTP などの一般的な予想されるネットワーク トラフィックとして偽装することができます」と、サードパーティのリスク管理用のツールと認証を提供する企業連合である North American Shared Assessments Steering Committee の議長、Nasser Fattah 氏は付け加えました。

ミュア氏は、CoinStomp ギャング団はクラウド セキュリティの分野におけるサイバー攻撃者の洗練度と専門知識を実証していると考えています。 「反フォレンジック技術の使用と、暗号化ポリシーの削除による標的マシンのセキュリティの弱体化は、攻撃者が Linux のセキュリティ対策について知っているだけでなく、インシデント対応プロセスを理解していることも示している」と彼は書いている。

Linuxでの検出方法を熟知

Muir 氏は、/dev/tcp を使用して通信用のリバース シェルを作成するのも高度なテクニックであると付け加えました。 「C2通信は通常ノイズが多く、監視ツールで簡単に検出されます。しかし、ポート443を使用すると、このトラフィックが正当なものに見えやすくなります」と彼は指摘した。

アークティック・ウルフの最高技術責任者イアン・マクシェーン氏は、CoinStomp は珍しいサイバー攻撃だと考えている。 「リバースシェルの使用と一般的なセキュリティ制御を回避する能力により、CoinStompグループはLinux上でのセキュリティ検出の仕組みを熟知しており、必ずしもインターネット通信に開放されていないインフラを標的にすることができる」と彼は述べた。

Valtixの主任セキュリティ研究者デイビス・マッカーシー氏は、「CoinStompグループは先見性があり、遭遇する可能性のあるあらゆるセキュリティ制御を克服するために高度な技術を使っている」と付け加えた。

<<:  BigQuery と Snowflake の究極ガイド

>>:  企業が直面するハイブリッドクラウドのセキュリティ上の 5 つの課題

推薦する

新しい SEO コンセプト - ブランド力で SEO を推進し、双方にメリットのある状況を実現

私の同僚の SEO 担当者は、Baidu がユーザー エクスペリエンスを非常に重視しており、コンテン...

DedeCMS Dreamweaver ウェブサイトディレクトリの作成と基本的なバックグラウンド操作の詳細な説明

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますDedeC...

ウェブサイトはアップグレードされ、改訂される予定でしたが、心配な問題が見つかりました。

月給5,000~50,000のこれらのプロジェクトはあなたの将来ですオンラインゲームが好きな友人は火...

詳細によって成功か失敗かが決まります。外部リンクもセグメント化する必要があります。

ウェブサイトの最適化には、多くの細部に注意を払う必要があります。私が初めて始めたとき、SEO は特別...

データ流通の鍵となる技術の研究

データ循環データ流通とは、一定の流通ルールに従って、データの供給者と需要者の間で行われる、データを対...

Amazon re:Invent 2023 で注目すべき 7 つのポイント

アニルバン・ゴシャル企画 |趙雲制作 | 51CTO テクノロジースタック (WeChat ID: ...

不快な思いをさせたくない消費者から個々のウェブマスターへの手紙

あなたがウェブマスターであれば、仮想サービスを提供するウェブマスターであっても、製品を販売するウェブ...

検索最適化: ウェブサイトの最適化には3つの基本原則が必要です

中国では、インターネットマーケティングサービスプロバイダーは検索エンジン最適化を非常に重視しています...

外部リンクをより効果的にするために、5つの外部リンクの側面をうまく活用しましょう

ウェブサイトの外部リンクを構築する方法については、インターネット上の SEO 記事ですでに詳しく説明...

Google PR: 流れに逆らって航海するようなものです。前進しなければ、遅れてしまいます。

Google PR 値とは、Google がウェブページに対する評価を訪問者に明示的に伝える情報です...

Kubernetes を使いこなすのに役立つ 4 つのツール

このシリーズの 3 番目の記事「Kubernetes の基礎: まず方法を学ぶ」では、Kuberne...

#クリスマス+新年# friendhosting: 10 台のコンピュータ ルームのすべての VPS が 40% オフ、トラフィック無制限、カスタム ISO、Alipay/PayPal など。

クリスマスと新年が近づいてきました。friendhosting は毎年恒例のクリスマスと新年のプロモ...

ウェブサイトの美化: 見栄えの良いファビコンをウェブサイトに追加する

「ファビコンって何?」私たちはほぼ毎日ファビコンを目にしますが、注目している人は多くありません。しか...