マルウェア

Moneroマイニング ソフトがロシアのBitTorrentサイトを通じて引き続きユーザーを悩ませる

Clock Icon 2 min read
Related Products
Advanced URL Filtering iconAdvanced URL FilteringAdvanced WildFire iconAdvanced WildFireCortex XDR iconCortex XDR

This post is also available in: English (英語)

概要

2018年の始まりとともに、私たちは暗号通貨マイニング ソフトが増大している傾向を認識しました。特定された最新の脅威は、ロシアのBitTorrentサイトという形で現れ、このサイトは密かにマルウェアをユーザーに配信し、主に 暗号通貨(仮想通貨)Monero をマイニングしています。この特定のロシアのBitTorrentサイト、b-tor[.]ruは、2017年7月以来アクティブで、2017年9月以降、ユーザーへ提供された正規のファイルにバンドルされているマルウェアが観察されてきました。多くの同様な活動のように、暗号通貨マイニング ソフトはユーザーの知らないうちに配信されています。事実、この攻撃の背後にいる攻撃者は、エンド ユーザーが自分のマシンにマルウェアがロードされたことに気付かないようにするための特定の試みを行っています。

配信

攻撃はユーザーがb-tor[.]ruにアクセスすると開始されます。ユーザーにBitTorrentファイルが提供され、その後、ユーザーはそれを使用して多数のアイテムをダウンロードできます。リストには、ゲーム、オペレーティング システム、ソフトウェア、書籍、雑誌、オーディオブック、TV番組、映画が含まれています。このロシアのBitTorrentサイトによって提供されたデータによると、重複ファイルを除いても275,000を超えるtorrentファイルがホストされています。

図1 b-tor[.]ruのロシア語から英語に翻訳されたビュー

ユーザーがこのWebサイトで提供されているいずれかのファイルのダウンロードを試みると、インターネットからファイルを検索、ダウンロード、または再生するために設計されたロシアのプログラムであるubar-pro[.]ruを介して直接ファイルをダウンロードするよう導かれます。タイトルが提示されたファイルに関連付けられたtorrentファイルをユーザーがダウンロードしようとすると、最も興味深いイベントが発生します。

図2 b-tor[.]ruからのファイル ダウンロード オプション

ユーザーがtorrentファイルのダウンロードを試みると、対応する名前の圧縮ファイルが代わりに提供されます。解凍すると、同じ名前の実行可能ファイルがこのユーザーに提供されます。

図2を例として使用します。ユーザーがtorrentファイルをダウンロードすると、以下のファイルが提供されます。

klient_world_of_.torrent.zip

解凍すると、ユーザーには以下のファイルが提供されます。

klient_world_of_.torrent.exe

ご覧のとおり、さらに攻撃者は二重のファイル拡張子を使用して、ユーザーにこのファイルが正規のtorrentファイルだと信じ込ませようとしています。また、実行可能ファイルでは一般的なuTorrent BitTorrentクライアントのアイコンが使用されています。実行すると、このファイルはHTTPSを介してb-tor[.]ru/dl.phpから実際のtorrentファイルをダウンロードして実行します。同時に、バックグラウンドで稼働するXMRig Moneroマイニング プログラムのインスタンスもダウンロードして実行します。

被害者によってマルウェアがダウンロードされた後の実行フロー全体は次のとおりです。

図3 b-tor[.]ruによって提供されたマルウェアによる実行フロー

マルウェアの分析

この分析全体にわたり、「配信」セクションで示したイメージ例で提示したファイル、klient_world_of_.torrent.zipを使用しています。これは以下の特徴を備えています。

元のファイル名 klient_world_of_.torrent.zip
ファイル タイプ Zipアーカイブ データ、解凍するにはv2.0以降
SHA256 792dd221088a6f023021d8709b30229a738dca492784a884f6dfa69f20e14c01

 

元のファイル名 klient_world_of_.torrent.exe
ファイル タイプ PE32実行可能ファイル (GUI) Intel 80386 Mono/.Netアセンブリ、MS Windows対応
SHA256 0007f17157e9fe34a305d938bc55e9a7189cf15d91ff3bde6af13fbea6852ece
コンパイル日 2018-01-29 22:05:3 UTC

これらの攻撃で使用されるマルウェアは、初期ダウンロード/ドロッパ、セカンダリ ペイロード、最終ペイロードといったいくつかの部分に分割されている場合があります。

初期ドロッパ/ダウンローダ

被害者が受け取った最初のファイルは、2つのアクションを実行します。まず、埋め込み.NET実行可能ファイルを被害者のマシンにドロップして実行します。また、被害者が予期した正規の.torrentファイルをダウンロードします。このドロッパ/ダウンローダは初回実行時に、まず埋め込み.NET実行可能ファイルをロードし、それを以下のディレクトリに配置します。

%APPDATA%\Defender Utility\defupdater.exe

このファイルは、ファイル システムにドロップされた後、新しいプロセスで起動されます。その後、マルウェアは新規ファイル保存ダイアログ ボックスを表示し、予期した.torrentファイルを保存する場所を指定するよう求めます。

図4 マルウェアによって表示されるファイルの保存ダイアログ

上記のスクリーンショットに示されたウィンドウのタイトルは、ロシア語の「Загрузка файлов」から英語の「Uploading files」(ファイルのアップロード)に翻訳されます。ユーザーがこのファイルを保存しようとすると、マルウェアは以下のURLから.torrentファイルをダウンロードして、指定された場所に配置します。

hxxps://b-tor[.]ru/dl.php?id=33308

保存しようとしなかった場合、マルウェアは予期された.torrentファイルをドロップせずに終了します。にもかかわらず、セカンダリ ペイロードがシステム上にドロップされ、実行されます。

第2段階

この第2段階のペイロードは、このマルウェアのすべてのインスタンスで「defupdater.exe」という名前であることが確認されています。さらに、内部の.NET名は「defupd」です。そのため、この投稿では以降、マルウェアのこの段階を「defupdater」と呼びます。この特定のマルウェアの段階は、永続性を確保するとともに、マルウェアの実行中の次の段階をダウンロードする役割を担っています。

最初に「defenderutility」のミューテックスを作成し、一度にこのマルウェアの単一のインスタンスのみが実行されるようにします。その後、実行可能ファイルの内部アセンブリ バージョンをチェックします。バージョンが存在しない場合は、デフォルトで「0.0.0.1」が使用されます。次に以下のディレクトリを作成します。

%APPDATA%\Defender Utility\

このディレクトリの作成後、このパス内に「update.exe」ファイルが存在するかどうかチェックします。存在する場合は、それを削除します。その後、マルウェアは2つのスレッドを作成します。1つは永続性を設定し、マルウェアの最終段階が継続的に動作するようにするためのもので、もう1つは第3段階のペイロードをダウンロードして実行するためのものです。「defupdater」マルウェアは、10分ごとに発生するループに入ります。これにより永続性確保のためのレジストリ キーの設定と、特定プロセスの存在確認の両方が行われます。

永続性を設定するため、以下のレジストリ キーが書き込まれます。

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Updater Utility – %APPDATA%\Defender Utility\defupdater.exe

レジストリ キーが書き込まれると、ループにおいて、「taskhostms」プロセスが実行中かどうか確認が行われます。このプロセスは、最終的には、このマルウェア ファミリの第4段階で作成されます。このプロセスの実行が確認されない場合、ループは以下のファイルを実行します。

%APPDATA%\AdGuard\taskhostms.exe

第3段階のペイロードをダウンロードして実行するため、defupdaterは以下のURLに対して要求を行い、内容を取得します。

  • hxxps://strak[.]xyz/updateinfo.xml

書き込みの時点で、このURLの内容は以下のとおりでした。

図 5 strak[.]xyzに対するHTTPS要求で返された結果

defupdaterマルウェアは、各XML要素を確認し、「wave2」のIDを持つ要素を検索します。この要素のバージョンは、前に抽出されたdefupdaterのアセンブリ バージョンと比較され、XMLに含まれているバージョンのほうが大きい場合、defupdaterは指定されたURLからファイルをダウンロードします。図5の例を使用して、defupdaterは、第3段階のペイロードを以下のURLからダウンロードします。

  • hxxps://strak[.]xyz/wave2/update

このファイルには、「update.gz」という名前の圧縮ファイルが含まれており、前に作成された「Defender Utility」ディレクトリ内に配置されています。「update.gz」ファイルは展開され、その結果、「update.exe」が同じディレクトリにドロップされます。その後、元の「update.gz」ファイルは削除されます。最後に「update.exe」の第3段階のペイロードが実行されます。

第3段階

このマルウェア ファミリの第3段階は、内部名が「update」の、もう1つの.NET実行可能ファイルです。このファイルは、中に含まれている埋め込まれた2つの実行可能ファイルをドロップして実行する役割を持っています。最初に「defenderupdate」のミューテックスを作成し、一度に単一のインスタンスのみが実行されるようにします。

次に以下のディレクトリを作成します。

%APPDATA%\AdGuard\

この段階で、以下の2つのペイロードをディスクにドロップします。

  • %APPDATA%\Defender Utility\defupdater.exe
  • %APPDATA%\AdGuard\taskhostms.exe

「defupdater.exe」は第2段階のペイロードの更新済みインスタンスであり、「taskhostms.exe」ファイルにはこのマルウェア ファミリの第4段階が含まれています。これらの検体はどちらも第3段階で実行されます。

第4段階

この第4段階も.NET実行可能ファイルであり、内部名は「taskhostms」です。最初に、常時「taskmgr」プロセスの存在を確認する新規スレッドを生成します。このプロセスが見つからない場合、ブール型のグローバル変数「canMine'」がTrueに設定されます。見つかった場合、この変数はfalseに設定されます。マルウェアはこのフラグを使用して、被害者のマシンでマイニングが実行されているかどうか判断します。

永続性を確保するため、以下のレジストリ キーが設定されます。

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Launcher Utility - %APPDATA%\AdGuard\taskhostms.exe

マルウェアは、オペレーティング システム(OS)のバージョンを確認します。32ビットOSを使用中の場合、マルウェアは内部名「xm32」の埋め込み実行可能ファイルをドロップします。そうでない場合、内部名「xm64」の埋め込み実行可能ファイルをドロップします。これらは、それぞれXMRigの32ビット版、64ビット版のコピーです。

このXMRigのインスタンスは、以下の場所にドロップされます。

  • %APPDATA%\AdGuard\adGuardms.exe

最後にマルウェアは、一連の引数を付けて、新しくドロップされた、XMRigのこのインスタンスを実行します。分析されたファイルでは、以下の引数が使用されていました。

-o 185.154.13[.]213:3333 -u wave7 -p wave7 -k --nicehash --donate-level=1 --max-cpu-usage=100 --cpu-priority 1

注目すべきなのは、b-tor[.]ruおよびstrak[.]xyzの両ドメインが同じIPアドレス「185.154.13.213」に解決される点です。同じホストがXMRigプロキシとしての役割を果たしています。この攻撃者による活動は、最初から最後まですべて同じIPアドレスで発生しています。

また、攻撃者によって、マイニング ソフトが被害者のCPU処理能力を100%使用するよう設定されている点にも注目する必要があります。これによって、被害者はマイニング ソフトの存在に気づく可能性が高くなります。この値を変更して被害者のCPUを少ない比率のみ使用するようにした攻撃者も、過去に観察されています。これは、被害者がバックグラウンドでマルウェアが実行されていることに気づく可能性を最小に抑えるのが狙いです。

結論

暗号通貨マイニング ソフトの配信は、もはや目新しいトラフィックではなくなりました。実際、2017年12月初めに暗号通貨の価値が急上昇したこともあり、こうしたソフトウェアは、この4、5か月間に、きわめて一般的な存在になりつつあります。今回の活動は、多くの場合非合法とされるコンテンツを求める、ロシア語圏の少数のユーザー層を標的にしたものです。そのため、感染したのは比較的少数のユーザーと考えられます。しかし、犯罪者が暗号通貨の生成という最終目標を持って、被害者のマシンを悪意で利用しようと試みたケースも示されています。この傾向はしだいに強まっており、今後も増加傾向が見られると思われます。

Palo Alto Networksのお客様は、この脅威から以下に示す方法で保護されています。

  • この活動に関連したすべての検体は、WildFireプラットフォームで、悪意があるものとしてフラグが設定されます。
  • また、すべての関連ドメインも、悪意があると判定されます。
  • Trapsは、ホスト マシンでこれらの検体が実行されることを防ぎます。

付録

作成されるファイル

  • %APPDATA%\Defender Utility\defupdater.exe
  • %APPDATA%\AdGuard\taskhostms.exe
  • %APPDATA%\AdGuard\adGuardms.exe

作成されるミューテックス

  • defenderutility
  • defenderupdate

レジストリ キー

  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Launcher Utility
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Updater Utility

SHA256ハッシュ

この攻撃に関連したハッシュの完全なリストについては、GitHubリポジトリを参照してください。

ドメイン/IPアドレス

  • b-tor[.]ru
  • strak[.]xyz
  • 185.154.13[.]213

Tags

目次

関連記事

関連項目 リソース

category icon脅威リサーチ

ランサムウェア振り返り: 2024 年上半期
今すぐ読む Right arrow
Constellation image representing the constellation schema used by Palo Alto Networks Unit 42 to track nation-state and
category icon脅威アクター グループ

パロアルトネットワークス Unit 42 が追跡している脅威アクター グループの一覧
今すぐ読む Right arrow
Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Lines of binary in the shape of a blue skull on a dark background
category icon脅威リサーチ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow