アジアのクラウドプロバイダーが暗号通貨マイニングマルウェアの標的に

アジアのクラウドコンピューティングサービスプロバイダーは現在、暗号通貨のマイニングに使用されるコンピューティングパワーを盗むために設計されたCoinStompマルウェア攻撃の標的になっています。 CoinStomp マルウェアによって展開されるサイバー攻撃手法には、タイムスタンプ (ファイルのタイムスタンプの変更)、システム暗号化ポリシーの削除、リバースシェルを使用してマルウェアとのコマンドアンドコントロール通信を開始することが含まれます。

「コインストンプは過去のクリプトジャッキング攻撃でもタイムスタンプを使用していた。しかし、これは一般的な手法ではない。被害者側による捜査や修復の取り組みを妨害するための反フォレンジック手段としてよく使用される」と、クラウドネイティブのサイバーフォレンジックおよび対応プラットフォームを提供するカド・セキュリティの研究員マット・ミューア氏は、同社が公開した投稿で述べた。

Cybellum のセキュリティ研究者兼開発者である Gal Lapid 氏は、攻撃者は重要なファイルを頻繁に変更すると説明した。「多くの場合、これらのファイルは、同時に生成された多くのファイルを含むフォルダに配置されており、1 つのファイルが「適合しない」(最近変更された) 場合、警戒すべき事態となる可能性があります」と同氏は述べた。「これにより、攻撃者はフォルダ内の他のファイルのタイムスタンプをコピーして検出を回避できます。」

マルウェアが暗号化ポリシーファイルを削除する

バルカン・サイバーのサイバーセキュリティエンジニア、マイク・パーキン氏は、一部のAPTグループがツールキットにタイムスタンプ操作機能を備えていると指摘した。「これは難解な技術ではない」と彼は言った。

CoinStomp マルウェアは、システム上の暗号化ポリシーファイルを削除したり、暗号化プロセスを終了するコマンドも発行します。「明らかに、暗号化ポリシーの施行はマルウェアの展開に具体的な影響を及ぼす」とCado SecurityのMuir氏は書いている。「悪意のあるアプリケーションが安全でないプロトコルを使用している場合、暗号化ポリシーによって追加のペイロードのダウンロードが防止され、悪意のあるアプリケーションの実行も防止される可能性があります。」

CoinStompグループはクラウドコンピューティング技術に精通している

マルウェアにコマンドと制御を発行するために、CoinStomp ギャングは Linux システム上の /dev/tcp ファイルを使用してリバースシェルを作成しました。「ほとんどの Linux ディストリビューションは、/dev/tcp デバイスファイルを介してリモートホストへの読み取り/書き込み操作をサポートしています」と Muir 氏は説明します。「もちろん、これはマルウェア開発者にとって最適です。リバースシェルや C2 通信チャネルを簡単にネイティブにサポートされた方法で作成できるからです。」

「/dev/tcp は Linux 固有のものであり、他のコンピュータと通信するように設計されているため、サイバー攻撃者はそのファイルを悪用して、HTTP などの一般的な予想されるネットワークトラフィックとして偽装することができます」と、サードパーティのリスク管理用のツールと認証を提供する企業連合である North American Shared Assessments Steering Committee の議長、Nasser Fattah 氏は付け加えました。

ミュア氏は、CoinStomp ギャング団はクラウドセキュリティの分野におけるサイバー攻撃者の洗練度と専門知識を実証していると考えています。「反フォレンジック技術の使用と、暗号化ポリシーの削除による標的マシンのセキュリティの弱体化は、攻撃者が Linux のセキュリティ対策について知っているだけでなく、インシデント対応プロセスを理解していることも示している」と彼は書いている。

Linuxでの検出方法を熟知

Muir 氏は、/dev/tcp を使用して通信用のリバースシェルを作成するのも高度なテクニックであると付け加えました。「C2通信は通常ノイズが多く、監視ツールで簡単に検出されます。しかし、ポート443を使用すると、このトラフィックが正当なものに見えやすくなります」と彼は指摘した。

アークティック・ウルフの最高技術責任者イアン・マクシェーン氏は、CoinStomp は珍しいサイバー攻撃だと考えている。「リバースシェルの使用と一般的なセキュリティ制御を回避する能力により、CoinStompグループはLinux上でのセキュリティ検出の仕組みを熟知しており、必ずしもインターネット通信に開放されていないインフラを標的にすることができる」と彼は述べた。

Valtixの主任セキュリティ研究者デイビス・マッカーシー氏は、「CoinStompグループは先見性があり、遭遇する可能性のあるあらゆるセキュリティ制御を克服するために高度な技術を使っている」と付け加えた。

<<: BigQuery と Snowflake の究極ガイド

>>: 企業が直面するハイブリッドクラウドのセキュリティ上の 5 つの課題

アジアのクラウドプロバイダーが暗号通貨マイニングマルウェアの標的に

マルウェアが暗号化ポリシーファイルを削除する

CoinStompグループはクラウドコンピューティング技術に精通している

Linuxでの検出方法を熟知

ウェブサイトの SEO 最適化の例

推奨: hostmist - 特別価格 64m/80m/128m/256m およびその他の小メモリ VPS プロモーション

中国高速航空、クラウドインフラ構築にAWSを全面採用

寧哲ネットワーク周寧：初期のローカルウェブサイトチーム管理に関する13の質問

B2B業界のウェブサイト電話営業が持つべき精神

ダイヤモンド展最大の問題「クリックコスト」を克服する方法

vpslices-$3.5/モスクワ/2g メモリ/100g SSD/5T トラフィック/著作権フリーホスティング

私のSEOの旅について話す

ヘルスケア向けクラウドコンピューティングの基本ガイド

クラウドベースのビデオ監視の準備はできていますか?

推薦する

BandwagonHost: 10Gbps 帯域幅の cn2 gia ライン VPS を追加。China Mobile + China Unicom がエンタープライズレベルの帯域幅を同時に使用して、電子商取引ビジネスなどを促進します。

WeChatは張小龍の時代に別れを告げる。WeChatの商業化はどこへ向かうのか？

国家インターネット情報局は違法なニュースおよび情報サービスウェブサイトを調査し、処罰する。

ウェブサイトのランキングに直接影響を与える4つの大きな間違いについて詳しく説明します

ウェブサイトのランキングが2～3ページで停滞する問題を解決する方法を専門家が教えます

ブラック 5: 123systems - 69 USD/3 年/3 GB RAM/75 GB ハードドライブ/3 TB トラフィック

「クラウドインテリジェンス」になる - デジタルイノベーションを加速させる道

SEOの核心はチームワークと実行力

個人ウェブマスター向けの考察

hostvenom: すべてのサーバーが 20% オフ、月額 40 ドルから、e3-1230v2/32g メモリ/500gSSD/50T 帯域幅、シカゴ Steadfast データセンター

Veritas: 新しいデータ自律技術がクラウド最適化戦略を強化

Flash が Android プラットフォームから撤退し、モバイルデバイスに正式に別れを告げる

クラウドコンピューティングの未来: パブリッククラウド、プライベートクラウド、それともハイブリッドクラウド?

2012年の電子商取引の振り返り: 価格競争は依然として洗練化へ移行中

DMOZ カテゴリディレクトリに参加して Google の権威を高める方法