ブログ
“CYFIRMAセキュリティアップデート-2-“ 「Rocke」と呼ばれるハッカーグループによるクリプトマイナーの拡散
2018-09-12

AUTHOR

Antuitリサーチチーム

 

他の仮想通貨よりも匿名性が高いと言われる“Monero”ですが、エスペラント語で「コイン」「硬貨」という意味を持つとか。
感染したシステム上でこの“Monero”を主に狙う目的で、仮想通貨マイニングマルウェアを展開しているキャンペーンが発見されました。「Rocke」という名前のハッカーグループがこのキャンペーンに関与していると考えられています。このグループは中国を拠点として活動している可能性が高く、Gitリポジトリ、HttpFileServers(HFS)などのツールキットやシェルスクリプト、JavaScriptバックドア、ELF、PEマイニングなど、被害者のマシン上で仮想通貨をマイニングするための悪意あるプログラムを利用しています。

以前、同グループが仮想通貨マイニングキャンペーンを実行するためにApache Struts、Oracle WebLogicサーバー(CVE-2017-10271)、およびAdobe ColdFusion(CVE-2017-3066)の脆弱性を利用しました。

現行のキャンペーンでは、ハッカーグループがパッチの適用されていないApache Strutsマシンをターゲットにしていることが判明しています。ハッカーグループはターゲットシステムに0720.binという名前の悪質なファイルをダウンロードするために、ターゲットにリクエストコマンドwgetを送信する傾向があります。マリシャスなファイルを分析すると、さらに以下のファイルが含まれていることが確認されました:

さらに、TermsHost.exeという名前のPE 32 Moneroのマイナーも、当ファイルの中に発見されています。

弊社では、Moneroマイニングサンプルなどを分析し、当該キャンペーンに関連付けられているドメインやIPアドレスのいくつかを特定しており、IPアドレスは中国から発信されていることが判明しています。

推奨対策
以下、我々の推奨する対策です。