“CYFIRMAセキュリティアップデート-2-“ 「Rocke」と呼ばれるハッカーグループによるクリプトマイナーの拡散

他の仮想通貨よりも匿名性が高いと言われる“Monero”ですが、エスペラント語で「コイン」「硬貨」という意味を持つとか。
感染したシステム上でこの“Monero”を主に狙う目的で、仮想通貨マイニングマルウェアを展開しているキャンペーンが発見されました。「Rocke」という名前のハッカーグループがこのキャンペーンに関与していると考えられています。このグループは中国を拠点として活動している可能性が高く、Gitリポジトリ、HttpFileServers（HFS）などのツールキットやシェルスクリプト、JavaScriptバックドア、ELF、PEマイニングなど、被害者のマシン上で仮想通貨をマイニングするための悪意あるプログラムを利用しています。

以前、同グループが仮想通貨マイニングキャンペーンを実行するためにApache Struts、Oracle WebLogicサーバー（CVE-2017-10271）、およびAdobe ColdFusion（CVE-2017-3066）の脆弱性を利用しました。

現行のキャンペーンでは、ハッカーグループがパッチの適用されていないApache Strutsマシンをターゲットにしていることが判明しています。ハッカーグループはターゲットシステムに0720.binという名前の悪質なファイルをダウンロードするために、ターゲットにリクエストコマンドwgetを送信する傾向があります。マリシャスなファイルを分析すると、さらに以下のファイルが含まれていることが確認されました：

• 感染したシステム上の他のcryptominerを破壊するためのa7という名前のシェルスクリプト。その他のシェルスクリプトlowerv2.shとrootv2.shが、被害者のマシンにcryptominerをインストールし、実行します。
• 3307.binという名前の実行可能ファイルとリンク可能な（ELF）ファイル。
• config.jsonという名前のjsonファイル：このファイルは、XMRigという名前のMoneroマイナーを設定するために使用されます。
• Pools.txt：これはオープンソースの汎用Stratumプール・マイナーに使用される設定ファイルです。このマイナーはMoneroとAeonをマイニングする機能を持っています。 さらに、悪意のあるファイルには、XMR-Stakの亜種であるBashf、XMRigの亜種であるBashgなどの他のマイナーが含まれています。

さらに、TermsHost.exeという名前のPE 32 Moneroのマイナーも、当ファイルの中に発見されています。

弊社では、Moneroマイニングサンプルなどを分析し、当該キャンペーンに関連付けられているドメインやIPアドレスのいくつかを特定しており、IPアドレスは中国から発信されていることが判明しています。

推奨対策
以下、我々の推奨する対策です。

• IDSシステムとSIEMに上記IoCを検出ルールとして追加し、感染のチェックをしてください。発見された場合は、感染の根本原因を見つけるためにさらに調査する必要があります。
• プロキシサーバー、DNSサーバー、メールサーバー、ファイアウォールログで上記ネットワークインジケータが存在するかどうかを調べる。
• 上記ホストインジケータのブロックをエンドポイントセキュリティシステムとアンチウイルスシステムに設定する。
• 安全で分離した環境ですべてのデータを定期的にバックアップしてください。これは攻撃された場合の迅速な回復に役立ちます。
• アンチウイルスおよびマルウェア対策のソリューションが定期的にスキャンを自動的に実行するように設定する。