Darktraceは、Windows Defenderを回避できる新たなクリプトジャッキングキャンペーンを警告　ソーシャルエンジニアリングを利用したクリプトジャッキングキャンペーン

サイバーセキュリティ企業Darktraceは、Windows Defenderを回避し、暗号資産マイニングソフトウェアを展開する新たなクリプトジャッキングキャンペーンを特定しました。

このクリプトジャッキングキャンペーンは7月下旬に初めて特定され、複数段階の感染チェーンを伴い、コンピュータの処理能力を密かに乗っ取って暗号資産をマイニングしますと、Darktraceの研究者Keanna Grelicha氏とTara Gould氏がcrypto.newsに共有したレポートで説明しています。

研究者によると、このキャンペーンは特にWindowsベースのシステムを標的としており、Microsoftの組み込みコマンドラインシェルおよびスクリプト言語であるPowerShellを悪用し、攻撃者が悪意のあるスクリプトを実行してホストシステムへの特権アクセスを獲得できるようにしています。

これらの悪意あるスクリプトはシステムメモリ（RAM）上で直接実行されるよう設計されており、その結果、通常はシステムのハードドライブ上のファイルをスキャンする従来のアンチウイルスツールでは、この悪意あるプロセスを検出できません。

その後、攻撃者はAutoItプログラミング言語（通常ITプロフェッショナルがタスク自動化のために使用するWindowsツール）を利用し、正規のWindowsプロセスに悪意あるローダーを注入します。これにより、暗号資産マイニングプログラムがシステム上に明らかな痕跡を残さずにダウンロードおよび実行されます。

追加の防御策として、ローダーはサンドボックス環境の兆候をスキャンしたり、インストールされているアンチウイルス製品を調査したりするなど、一連の環境チェックを実行するようプログラムされています。

Windows Defenderのみが唯一のアクティブな保護である場合にのみ実行が進みます。さらに、感染したユーザーアカウントに管理者権限がない場合、プログラムはUser Account Controlのバイパスを試み、権限昇格を図ります。

これらの条件が満たされると、プログラムはNBMiner（Ravencoin（RVN）やMonero（XMR）などの暗号資産をコンピュータのグラフィックス処理ユニットを使ってマイニングすることで知られる暗号資産マイニングツール）をダウンロードおよび実行します。

今回のケースでは、DarktraceはAutonomous Responseシステムを用いて「デバイスが外部への接続を行うのを防ぎ、疑わしいエンドポイントへの特定の接続をブロックする」ことで攻撃の封じ込めに成功しました。

「暗号資産の人気が高まり続けていること（執筆時点で世界の暗号資産市場の時価総額はほぼ4兆米ドル）からも分かるように、脅威アクターは今後もクリプトマイニングを収益性の高い事業と見なすでしょう」とDarktraceの研究者は記しています。

ソーシャルエンジニアリングを利用したクリプトジャッキングキャンペーン

7月には、Darktraceが別のキャンペーンを警告しました。このキャンペーンでは、攻撃者が実在する企業になりすますなど、複雑なソーシャルエンジニアリング手法を用いて、ユーザーに改ざんされたソフトウェアをダウンロードさせ、暗号資産を盗むマルウェアを展開していました。

前述のクリプトジャッキング手法とは異なり、このアプローチはWindowsとmacOSの両方のシステムを標的としており、被害者自身が企業の内部関係者とやり取りしていると信じて自ら実行してしまうものでした。