Cisco Talosのセキュリティ研究者は、グラフィックデザイナーや3Dモデラーを狙う手口を発見しました。サイバー犯罪者は暗号資産マイニング型マルウェアを用いて、これらの分野で一般的に使用されるグラフィックス処理装置(GPU)を乗っ取っています。
Cisco Talosが木曜日に公開した勧告によると、このキャンペーンは少なくとも2021年11月以降活動しています。攻撃者は、ソフトウェアのパッケージングに用いられる正規のWindowsツール「Advanced Installer」 を悪用し、Adobe IllustratorやAutodesk 3ds Maxといった正規ソフトに暗号資産マイニング型マルウェアを同梱しています。
このキャンペーンがグラフィックデザインおよび3Dモデリングソフトに焦点を当てる理由は、これらのツールが要求するGPUパワーが大きく、サイバー犯罪者の暗号資産マイニングの需要に適しているためです。Cisco Talosは説明しています。これらの脅威アクターは、Advanced Installerの「Custom Actions」 機能を使ってソフトウェアのインストール工程に悪意あるスクリプトを忍び込ませ、脅威を展開できるようにしていました。
ペイロードには、バックドアを作成するM3_Mini_Ratのクライアントスタブや、PhoenixMiner、そして汎用性の高いlolMinerといった暗号資産マイニング型マルウェアが含まれます。
「暗号資産マイニングは、特にハイエンドGPUを搭載したマシンでは収益性が高く、マルウェアは利用可能なリソースのほんの一部を消費しながらバックグラウンドでひそかに動作できることが多いのです。これにより悪意ある活動がより長く継続し、ユーザーに気づかれない可能性があります」 と、Critical Startのサイバー脅威リサーチ担当シニアマネージャーであるCallie Guenther氏は説明しました。
「さらに、人気ソフトのインストーラーをトロイの木馬化する手法は、脅威アクターにとってより容易な配布方法になります。検索エンジン最適化(SEO)ポイズニングのような戦術を活用すれば、ダウンロード数とそれに続く感染の割合が高まる可能性があります。」
暗号資産マイナーに関する関連記事:米規制当局、暗号資産のセキュリティリスクについて銀行に警告
このキャンペーンは主にフランス語話者のユーザーに影響し、主としてフランスとスイスで確認されています。しかし、米国、カナダ、アルジェリア、スウェーデン、ドイツ、チュニジア、マダガスカル、シンガポール、ベトナムなどの国々でも散発的な感染が見られています。
グラフィックデザイナーおよび3Dモデラーには、ソフトウェアをインストールする際に注意するよう勧告されています。
「このような長期にわたり持続するキャンペーンは巧妙で検知が難しい一方、組織に長期的な影響を及ぼし得ます」 と、Taniumのテクニカルアカウントマネジメント担当シニアディレクターであるShawn Surber氏はコメントしました。
「これはまた、運用チームとセキュリティチームが従来の縦割りを越えて協力する必要がある理由を示す好例でもあります。ひとたび侵入されると、この種の攻撃は従来のセキュリティツールでは事実上見えません。したがって、パフォーマンス監視のような運用ツールを調整し、このような異常な挙動を観測してアラートを出せるようにすることが重要です。」
翻訳元: https://www.infosecurity-magazine.com/news/gpus-graphic-design-software/
