高性能ハードウェアの境界を悪用した攻撃手法
Microsoftは最近、高度なクリプトジャッキングキャンペーンを発見しました。このマルウェアは、人気のハードウェア監視ユーティリティやPCオーバークロックソフトウェアに偽装しています。脅威アクターたちは無差別な大量感染を目的とせず、高性能グラフィックアーキテクチャを持つユーザーを意図的に標的としています。さらに、配布戦略には不正な検索結果と、ポイズニングされたジェネレーティブAIチャットボットによる推薦の両方が活用されています。
侵害の仕組み
Microsoft Defenderチームのアナリストが悪意のあるインフラを調査しました。攻撃者はCrystalDiskInfo、HWMonitor、FurMarkといったツールの正規ドメインをクローンしていました。さらに、Display Driver Uninstaller、K-Lite Codec Pack、PDFgearなどのユーティリティも模倣していました。
最初、疑いを持たないユーザーは正規のバイナリを含む改ざんされたZIPアーカイブをダウンロードします。しかしそのパッケージには、autorun.dllという名の悪意のあるライブラリが密かに同梱されていました。実行ファイルを起動すると、補助コンポーネントの隠しインストールが引き起こされます。
インフラの規模とジェネレーティブポイズニング
この攻撃作戦は、150以上の異なるドメインからなる広大なネットワークを活用しています。攻撃者はこのインフラの一部をDynuダイナミックDNSレジストリを用いて構築しました。さらに、テレメトリアナリストは会話型AIプラットフォームから直接発生する大量の悪意ある参照トラフィックを観測しました。VirusTotalのドキュメントによれば、ソフトウェアに関する問い合わせへの自動チャットボット回答の中に、複数のポイズニングされたリンクが定常的に含まれていたとのことです。
リモート管理機能の確立
エンドポイントへの侵害に成功した後、ペイロードはScreenConnectリモート管理ユーティリティをインストールします。このツールを通じて、リモートの攻撃者はシステムへの永続的なアクセスを維持します。これにより、新たな悪意あるペイロードをホストへ容易に導入できます。Microsoftのセキュリティ専門家は、このベクターが仮想通貨の採掘をはるかに超えた脅威をもたらすと警告しています。具体的には、データ窃取、水平移動、あるいは壊滅的なランサムウェアの展開を脅威アクターが実行できる手段となります。
アーキテクチャ的回避と動的スロットリング
第二段階では、SimpleRunPE.exeというコンポーネントが実行されます。このユーティリティは、マイニングペイロードを正規のMicrosoft .NET実行空間に直接インジェクトします。存在を隠蔽するため、マルウェアはWindowsネイティブコンポーネントを悪用します。対象となるツールにはInstallUtil.exe、MSBuild.exe、RegAsm.exeが含まれます。
さらに、スクリプトはMicrosoft Defenderにレジストリ除外設定を自動的に追加します。また、仮想マシンやリバースエンジニアリングツールの存在を積極的に調査します。Wireshark、IDA、Ghidraなどのツールを検出した場合、即座に終了します。
スマートなリソース管理
デジタル資産を採掘するため、攻撃者はgminer、lolMiner、SRBMiner-MULTIといった標準的なマイニングツールを展開します。ペイロードはユーザーのキーボード操作とリアルタイムのGPU負荷を同時に監視します。ユーザーが負荷の高いゲームを起動すると、マイナーは自動的に一時停止します。その結果、システムはユーザーの疑念を一切引き起こすことなく動作し続けます。
推奨される防御的コントロール
Microsoftは、統合Defenderスイートがこの敵対的活動を効果的に緩和できると断言しています。そのため、同社はクラウド提供型の保護モジュールおよびネットワークフィルタリング設定を有効にするよう組織に促しています。厳格なアタックサーフェス削減ルールを導入することで、企業ネットワークをこうした新たな脅威から保護することができます。
翻訳元: https://meterpreter.org/fake-hardware-monitoring-cryptojacker-gpu-malware/
