TokyoBlackHatNews

bleepingcomputer.com 5分で読了

GPUマイニングマルウェア、SEOポイズニングとAIチャットボットを通じて拡散

Image

脅威アクターが、高性能コンピューターを搭載したシステムを標的にした継続的なクリプトジャッキングキャンペーンを展開しており、AIチャットボットの推薦結果も操作する組織的なSEOポイズニング手法を通じて拡散しています。

​感染は、CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack、PDFgearなど、高性能システムの所有者が一般的にインストールするユーティリティソフトウェアの悪意あるダウンロードページを通じて発生します。

システムが感染すると、攻撃者は正規のリモート管理ツールScreenConnectを展開することで、マシンへの永続的なアクセスを確立し、後に追加のマルウェアをインストールするために悪用される可能性があります。

Visit Advertiser websiteGO TO PAGE

Microsoftの研究者がこのキャンペーンを発見し、ユーザーが上記のユーティリティを検索した際に、SEOポイズニングによって検索順位を引き上げられた悪意あるリンクが表示されることで攻撃が始まることを突き止めました。

しかし、4月の一部の報告では、AIベースのアシスタントとのやり取り後にユーザーが悪意あるドメインに誘導されたことが示されています。

「これらのケースでは、ソフトウェアのダウンロード先についてAIチャットボットに問い合わせたユーザーに対し、生成されたレスポンス内に攻撃者が管理するドメインへのリンクが表示されました」とMicrosoftは述べています

Image

悪意あるダウンロードファイルは、gleeze[.]comのサブドメインにホストされたZIPアーカイブであり、このドメインはフィッシングサイトへの関与で過去にフラグが立てられたことがあります。

Microsoftによると、アーカイブには正規ユーティリティの正規実行ファイルとともに、無害なバイナリを起動した際に自動的に読み込まれる悪意あるDLLが含まれています。

研究者が発見したところ、このDLLはmsiexec.exeを使用してvcredist_x64.dllをインストールします。これはScreenConnectリモートアクセスツールのパッケージインストーラーです。

侵害されたクライアントとのScreenConnectセッションを確立した後、脅威アクターはSimpleRunPE.exeという名前の別のバイナリを投下し、Explorerで隠されたフォルダ内にRuntimeHost.exeとして自身をコピーします。

この実行ファイルの目的は、「複数のWindowsの自動起動場所にまたがる6つの永続化メカニズム」を確立することです。

Image

場合によっては、バイナリが悪意あるPowerShellスクリプト経由で投下され、人気の動画プレーヤーVideoLANの実行ファイルになりすますために、vlc.exeとしてローカルに保存されます。

SimpleRunPE.exeのプログラムデータベース(PDB)パスに基づき、研究者はこれがプロセスハロウイング技術のデモンストレーション用公開リポジトリのフォークであると考えています。

脅威アクターはステルス性のためにこの技術を採用し、Microsoftが署名した正規の.NETバイナリへのプロセスハロウイングを試みました。対象はInstallUtil.exe、RegAsm.exe、RegSvcs.exe、MSBuild.exe、AppLaunch.exe、AddInProcess.exe、aspnet_compiler.exeです。

同じ目的のため、悪意あるバイナリはPowerShellを呼び出して、自身のパスとプロセスをMicrosoft Defenderの除外リストに追加します。

さらに、マルウェアは仮想マシンの存在と、分析ツールに対応する40のプロセス名のセットについて環境をチェックします。いずれかが検出された場合、マルウェアは実行を終了します。

プロセスハロウイングの段階を完了し、マルウェアがMicrosoft署名のWindowsユーティリティ内で実行された後、3つのマイニングモジュールのいずれかがダウンロードされて実行されます。

対応するマイニングプログラムはgminer、lolMiner、SRBMiner-MULTIで、いずれもグラフィックスプロセッシングユニット(GPU)を使用するように設計されています。

Microsoftは、この暗号通貨キャンペーンが数量よりも「侵害デバイスあたりのGPUマイニング収益を最大化するために一から設計されたターゲティングと収益化戦略」において際立っていると述べています。

Microsoftのツールが提供する防御に加え、組織はレポートに含まれる侵害の指標を使用して環境を保護できます。

検証のギャップ:自動ペネトレーションテストが答えるのは1つの質問。あなたには6つが必要です。

自動ペネトレーションテストツールは実際の価値を提供しますが、それらは1つの質問に答えるために設計されています。攻撃者はネットワークを横断できるか?コントロールが脅威をブロックするか、検出ルールが発動するか、クラウド設定が維持されるかをテストするためには設計されていません。

このガイドでは、実際に検証が必要な6つのサーフェスを説明します。

今すぐダウンロード

翻訳元: https://www.bleepingcomputer.com/news/security/gpu-mining-malware-spreads-via-seo-poisoning-ai-chatbots/

ソース: bleepingcomputer.com
#AIチャットボット #DLLサイドローディング #GPUマイニング #Microsoft #ScreenConnect #SEOポイズニング #クリプトジャッキング #プロセスハロウイング #マルウェア #永続化メカニズム

関連記事

ユーザーを困らせることなく、Active Directoryに強力なパスワードルールを適用できるか?

Glasswormボットネット、耐障害性のあるC2インフラ解体により壊滅

FBIが恐喝グループによる対面でのデータ窃取攻撃について警告