感染したUSBデバイスを介して配布される多段階型マルウェア攻撃が確認され、2025年におけるクリプトマイニング脅威の持続性に対する懸念が高まっています。
CyberProofのマネージド検知および対応(MDR)チームのアナリストは、このキャンペーンがDLL検索順序ハイジャックとPowerShellを利用してセキュリティ制御を回避し、クリプトマイナーのインストールを試みていたことを発見しました。
このマルウェアは、以前のZephyr(XMRig)活動と関連付けられており、最終段階でエンドポイント検知および対応(EDR)ツールによって最終的にブロックされました。
攻撃は、USBドライブに隠されたVisual Basicスクリプトから始まります。実行されると、このスクリプトはxcopy.exeを含む一連のプロセスを開始し、ファイルをWindowsのSystem32ディレクトリに移動させます。これらのファイルにより、クリプトマイナーをダウンロードするための悪意あるDLLのサイドローディングが可能になります。
CyberProofは、この手法が2024年10月にアゼルバイジャンのCERTによって明らかにされた「Universal Mining」と呼ばれる国際的な暗号通貨マイニングスキームと非常によく似ていると指摘しています。
同社の調査によると、このキャンペーンの拡散は複数のインテリジェンスソースやテレメトリを通じて追跡されており、米国、複数のヨーロッパ諸国、エジプト、インド、ケニア、インドネシア、タイ、ベトナム、マレーシア、オーストラリアで感染が確認されています。
この広範な地理的拡大は、リムーバブルメディアが先進国と発展途上国の両方で依然としてマルウェア拡散の持続的な経路であることを浮き彫りにしています。
世界のサイバー犯罪動向について詳しく読む:AI時代のサイバー犯罪におけるレジリエンス再考
「感染したUSBドライブから発生するクリプトマイニング攻撃が2025年半ばになっても依然として蔓延していることは、基本的なセキュリティ課題を強く示しています」とCyberProofは述べています。
リスクを低減するため、レポートは組織に以下を推奨しています:
-
すべてのシステムでオートランおよびオートプレイ機能を無効にする
-
USBからの署名されていない実行ファイルをブロックするデバイス制御ポリシーを実施する
-
難読化されたスクリプトを検知できるEDRソリューションでエンドポイントセキュリティを強化する
-
lsass.exeなどの主要なシステムプロセスを認証情報窃取の試みから保護する
-
USBポートの制限やロックを含む物理的なセキュリティ対策を徹底する
CyberProofは、厳格なUSBポリシーを欠いた組織は、クリプトマイナー感染だけでなく、より深刻な侵害へと発展しうる内部脅威にも依然として脆弱であると結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/usb-malware-spreads-cryptominer/