EDRを削除して暗号資産マイナーを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 8時34分
Elasticsearchはこのほど、「Invisible miners: unveiling GHOSTENGINE’s crypto mining operations — Elastic Security Labs」において、脆弱なドライバーを悪用してエンドポイント検出応答(EDR: Endpoint Detection and Response)を無効化し、暗号資産マイナーを展開するサイバー攻撃のキャンペーン「REF4578」を発見したとして、注意を喚起した。
○侵害経路
このキャンペーンは「Tiworker.exe」を被害者に実行させるところから始まる。Elasticsearchはこのファイルがどのようにして被害者に配布されたのかを明らかにしていない。このファイルを実行すると、画像ファイルに偽装したPowerShellスクリプト「get.png」がダウンロード、実行される。
PowerShellスクリプト「get.png」には次のような機能があるとされる。
コマンド&コントロール( C2: Command and Control)サーバから追加のツール、モジュール、構成ファイルをダウンロード、実行する。C2サーバが使用できない場合に備えバックアップサーバを用意しており、それぞれHTTPまたはFTPを使用してダウンロードを試みる
Windows Defenderを無効にする
リモートサービスを有効にする
複数のWindowsイベントチャネルを消去する
C:ドライブに10MB以上の空き容量があることを確認する。空き容量がない場合は大きなファイルの削除を試みる。失敗すると十分なスペースのある別のドライブを探す
永続性を確保するために、複数のタスクを追加する
Elasticsearchは主要な機能を持つ追加モジュールを「GHOSTENGINE」と名付けて分析している。GHOSTENGINEには、次のような機能があるとされる。
Avastアンチルートキットドライバー「aswArPot.sys」の脆弱性を悪用し、エンドポイント検出応答(EDR: Endpoint Detection and Response)を終了させる(参考:「AvastとAVGのアンチウイルスソフトに重大な脆弱性、OS破壊の恐れも | TECH+(テックプラス)」)
IObitのドライバー「iobitunlockers.sys」に存在する脆弱性を悪用し、セキュリティソリューションを削除する
暗号通貨マイナー「XMRig」をダウンロードしてマイニングを開始する
-
-
- 1
- 2
-
この記事に関連するニュース
-
人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
-
海賊版Microsoft Officeから複数のマルウェア、削除しても自動で復活
マイナビニュース / 2024年6月1日 9時32分
-
暗号資産を窃取するマルウェアを配布するPythonパッケージに注意
マイナビニュース / 2024年5月31日 12時28分
-
ゼロデイ脆弱性からMITREに不正アクセス、VMware仮想環境で攻撃
マイナビニュース / 2024年5月28日 8時2分
-
人気のアンチウイルスソフトを偽るマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 7時31分
ランキング
-
1Amazon、10回目の「プライムデー」を7月16日から2日間開催 100万点以上が“特別価格“に
ITmedia NEWS / 2024年6月25日 21時15分
-
2「昔のミスド良すぎる」「復活してほしい!」 30年以上前の“ミスドのドーナツ”に復活求める声相次ぐ
ねとらぼ / 2024年6月26日 12時30分
-
3「フォレストページ」閉鎖、データは削除 平成の「ケータイHP」サービス、22年の歴史に幕
ITmedia NEWS / 2024年6月26日 15時20分
-
4「GTO」出演後、消息をたった“幻の男”が登場 菊池風磨&小芝風花が再会し「変わってない!」と喜び
ねとらぼ / 2024年6月24日 20時8分
-
5いつでもどこでもSFCを美麗画面で!携帯型SFC互換機「IPS 16ビットポケットHD」発表―2024年9月下旬発売予定
Game*Spark / 2024年6月26日 11時36分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)