innovaTopia

Tech for Human Evolution

イタリア企業、武装USBによる暗号ジャッキングマルウェア攻撃の標的に

イタリア企業、武装USBによる暗号ジャッキングマルウェア攻撃の標的に - innovaTopia - (イノベトピア)

Last Updated on 2024-08-16 06:30 by admin

イタリアの企業が、暗号ジャッキングマルウェアを拡散するために武装化されたUSBデバイスの標的となっています。この攻撃は、UNC4990として知られる金銭目的の脅威アクターによって行われ、健康、交通、建設、物流など複数の産業を狙っています。Google傘下のMandiantによると、UNC4990の作戦は広範囲にわたるUSB感染に続いて、EMPTYSPACEダウンローダーの展開を一般的に含んでいます。このクラスターは、GitHub、Vimeo、Ars Technicaなどの第三者ウェブサイトを利用して、実行チェーンの早い段階でPowerShellを介して追加のステージをダウンロードし、デコードします。

UNC4990は2020年末から活動しており、イタリアのインフラを広範囲に使用していることから、イタリアから運営されていると評価されています。この脅威アクターの最終目標は明確ではありませんが、あるケースでは数ヶ月のビーコン活動の後にオープンソースの暗号通貨マイナーが展開されたとされています。

感染は、被害者が取り外し可能なUSBデバイス上の悪意のあるLNKショートカットファイルをダブルクリックすることで始まり、リモートサーバーからEMPTYSPACE(別名BrokerLoaderまたはVetta Loader)をダウンロードするためのPowerShellスクリプトの実行につながります。Yoroiは、Golang、.NET、Node.js、Pythonで書かれたEMPTYSPACEの4つの異なるバリアントを特定しました。これは、C2サーバーからHTTP経由で次のステージのペイロードを取得するための導管として機能します。

QUIETBOARDは、任意のコマンドを実行し、クリップボードにコピーされた暗号ウォレットアドレスを変更して資金転送を自分たちの管理下にあるウォレットにリダイレクトし、マルウェアを取り外し可能なドライブに伝播し、スクリーンショットを撮影し、システム情報を収集することができるPythonベースのバックドアです。さらに、このバックドアはモジュラー拡張が可能であり、コインマイナーのような独立したPythonモジュールを実行したり、C2サーバーから動的にPythonコードを取得して実行することができます。

Mandiantの研究者は、「EMPTYSPACEとQUIETBOARDの分析は、脅威アクターがツールセットを開発する際にモジュラーなアプローチを取ったことを示唆しています。異なるプログラミング言語を使用してEMPTYSPACEダウンローダーの異なるバージョンを作成し、Vimeoのビデオが削除されたときにURLを変更することは、脅威アクター側の実験と適応性に対する傾向を示しています」と述べています。

【ニュース解説】

イタリアの企業が、暗号ジャッキングマルウェアを拡散するために使用される武装化されたUSBデバイスの標的になっているという報告があります。この攻撃は、UNC4990と呼ばれる金銭目的の脅威アクターによって行われ、健康、交通、建設、物流などの複数の産業が狙われています。この攻撃キャンペーンは、USBデバイスを介した感染から始まり、その後、悪意のあるソフトウェアがダウンロードされ、最終的には暗号通貨のマイニングなどの活動に利用されます。

この攻撃の特徴的な点は、GitHubやVimeoなどの人気のあるサイトを利用して悪意のあるペイロードをホストしていることです。これらのサイト自体は安全であり、通常の利用者には直接的なリスクはありませんが、攻撃者はこれらの信頼できるプラットフォームを悪用して、マルウェアの拡散を図っています。また、この攻撃では、Pythonベースのバックドア「QUIETBOARD」が使用されており、これにより攻撃者は被害者のシステムに対してさまざまな操作を行うことが可能になります。

このような攻撃は、企業や組織にとって複数のリスクをもたらします。まず、暗号ジャッキングにより、被害者のコンピュータリソースが無断で使用され、システムのパフォーマンスが低下する可能性があります。また、攻撃者がシステム内で自由に動き回ることができるため、機密情報の漏洩や他の悪意のある活動への扉を開くことにもなりかねません。

この攻撃は、企業が外部デバイスの使用に関して厳格なポリシーを持つべきであることを示しています。また、信頼できるソースからのみソフトウェアをダウンロードし、定期的なセキュリティチェックを行うことの重要性も強調しています。さらに、このような攻撃は、サイバーセキュリティの規制や基準を強化する必要性を浮き彫りにしており、将来的にはより厳格な対策が求められる可能性があります。

長期的には、このような攻撃の増加は、サイバーセキュリティ技術の進化を促すとともに、企業や組織がセキュリティ対策を常に最新の状態に保つことの重要性を再認識させることになるでしょう。また、攻撃者が常に新しい手法を模索していることから、セキュリティコミュニティは攻撃を予測し、防御策を開発するために、継続的な研究と協力が必要です。

from Italian Businesses Hit by Weaponized USBs Spreading Cryptojacking Malware.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » イタリア企業、武装USBによる暗号ジャッキングマルウェア攻撃の標的に