アジアのクラウドプロバイダーが暗号通貨マイニングマルウェアの標的に

アジアのクラウドコンピューティングサービスプロバイダーは現在、暗号通貨のマイニングに使用されるコンピューティングパワーを盗むために設計されたCoinStompマルウェア攻撃の標的になっています。 CoinStomp マルウェアによって展開されるサイバー攻撃手法には、タイムスタンプ (ファイルのタイムスタンプの変更)、システム暗号化ポリシーの削除、リバース シェルを使用してマルウェアとのコマンド アンド コントロール通信を開始することが含まれます。

「コインストンプは過去のクリプトジャッキング攻撃でもタイムスタンプを使用していた。しかし、これは一般的な手法ではない。被害者側による捜査や修復の取り組みを妨害するための反フォレンジック手段としてよく使用される」と、クラウドネイティブのサイバーフォレンジックおよび対応プラットフォームを提供するカド・セキュリティの研究員マット・ミューア氏は、同社が公開した投稿で述べた。

Cybellum のセキュリティ研究者兼開発者である Gal Lapid 氏は、攻撃者は重要なファイルを頻繁に変更すると説明した。 「多くの場合、これらのファイルは、同時に生成された多くのファイルを含むフォルダに配置されており、1 つのファイルが「適合しない」(最近変更された) 場合、警戒すべき事態となる可能性があります」と同氏は述べた。 「これにより、攻撃者はフォルダ内の他のファイルのタイムスタンプをコピーして検出を回避できます。」

マルウェアが暗号化ポリシーファイルを削除する

バルカン・サイバーのサイバーセキュリティエンジニア、マイク・パーキン氏は、一部のAPTグループがツールキットにタイムスタンプ操作機能を備えていると指摘した。 「これは難解な技術ではない」と彼は言った。

CoinStomp マルウェアは、システム上の暗号化ポリシー ファイルを削除したり、暗号化プロセスを終了するコマンドも発行します。 「明らかに、暗号化ポリシーの施行はマルウェアの展開に具体的な影響を及ぼす」とCado SecurityのMuir氏は書いている。 「悪意のあるアプリケーションが安全でないプロトコルを使用している場合、暗号化ポリシーによって追加のペイロードのダウンロードが防止され、悪意のあるアプリケーションの実行も防止される可能性があります。」

CoinStompグループはクラウドコンピューティング技術に精通している

マルウェアにコマンドと制御を発行するために、CoinStomp ギャングは Linux システム上の /dev/tcp ファイルを使用してリバース シェルを作成しました。 「ほとんどの Linux ディストリビューションは、/dev/tcp デバイス ファイルを介してリモート ホストへの読み取り/書き込み操作をサポートしています」と Muir 氏は説明します。 「もちろん、これはマルウェア開発者にとって最適です。リバースシェルや C2 通信チャネルを簡単にネイティブにサポートされた方法で作成できるからです。」

「/dev/tcp は Linux 固有のものであり、他のコンピュータと通信するように設計されているため、サイバー攻撃者はそのファイルを悪用して、HTTP などの一般的な予想されるネットワーク トラフィックとして偽装することができます」と、サードパーティのリスク管理用のツールと認証を提供する企業連合である North American Shared Assessments Steering Committee の議長、Nasser Fattah 氏は付け加えました。

ミュア氏は、CoinStomp ギャング団はクラウド セキュリティの分野におけるサイバー攻撃者の洗練度と専門知識を実証していると考えています。 「反フォレンジック技術の使用と、暗号化ポリシーの削除による標的マシンのセキュリティの弱体化は、攻撃者が Linux のセキュリティ対策について知っているだけでなく、インシデント対応プロセスを理解していることも示している」と彼は書いている。

Linuxでの検出方法を熟知

Muir 氏は、/dev/tcp を使用して通信用のリバース シェルを作成するのも高度なテクニックであると付け加えました。 「C2通信は通常ノイズが多く、監視ツールで簡単に検出されます。しかし、ポート443を使用すると、このトラフィックが正当なものに見えやすくなります」と彼は指摘した。

アークティック・ウルフの最高技術責任者イアン・マクシェーン氏は、CoinStomp は珍しいサイバー攻撃だと考えている。 「リバースシェルの使用と一般的なセキュリティ制御を回避する能力により、CoinStompグループはLinux上でのセキュリティ検出の仕組みを熟知しており、必ずしもインターネット通信に開放されていないインフラを標的にすることができる」と彼は述べた。

Valtixの主任セキュリティ研究者デイビス・マッカーシー氏は、「CoinStompグループは先見性があり、遭遇する可能性のあるあらゆるセキュリティ制御を克服するために高度な技術を使っている」と付け加えた。