ファイルレス仮想通貨マイナー「PowerGhost」は、ハッカーグループBOLICによるものと特定
2018-08-08

2018.08.08
Antuit株式会社 CYFIRMA事業

CYFIRMAは独自の調査で、新種のファイルレス仮想通貨マイナー「PowerGhost」が、ハッカーグループBOLICによるものと特定しました。
4月頃から、WannaCryに関与したとされるハッカーグループLazarusがBOLICに接触し、WannaCryの技術を活用した新種の仮想通貨マイナーによる攻撃の準備活動を捕捉し、継続してモニターしていました。
その結果、仮想通貨発掘の機能に加え、情報搾取の機能を実装した「Double-Face Cryptominer」を使用したBOLICによるキャンペーンの計画を検知し、注意喚起レポートとして対策を呼び掛けていました。
https://pardot.cyfirma.jp/early_warning_report_201806-2

CYFIRMAのCIRTではその後の調査で、「PowerGhost」と「Double-Face Cryptominer」の関連性が強いことを確認し、BOLICによる大規模なキャンペーン攻撃であると結論づけました。
ハッカーグループのBOLICは、ロシアもしくはベラルーシを拠点にした高度なハッカーグループであり、これまでITサービスや通信業、社会インフラをターゲットにしたハッキング活動を展開してきています。また彼らは独自にマルウェアを開発するだけではなく開発の一部を外部に委託する、もしくは購入し、攻撃に活用することでも知られています。弊社では、すでに日本のいくつかの企業に対するBOLICの攻撃や侵害活動を実際に検知しています。

今後もCYFIRMAは継続して、BOLICおよび新規の攻撃に対する監視を継続し、予兆を検知した場合には即座に注意喚起を発信していきます。

【お問い合わせ】
お問い合わせはこちらのフォームよりお願いいたします。
https://www.cyfirma.jp/contact/