進化し続けるサイバーセキュリティの世界では、エアギャップ環境など、セキュリティ対策をバイパスできるマルウェアは増加する脅威です。
最近特定された最も高度な脅威の1つは、暗号マイニングマルウェアで、外部ドライブを経由して拡散し、一見安全に見えるシステムの弱点を悪用しています。
このキャンペーンは、現代のマルウェアの復元力を示すだけでなく、高度に保護された環境内で継続し、拡散するために使用される巧妙な手法をも明らかにしています。
マルウェアがシステムリソースをハイジャックして暗号資産をマイニングするサイバー攻撃の一形態であるクリプトジャッキングは、シンプルなブラウザベースのスクリプトから複雑なシステムレベルの脅威へと進化しました。
最新の発見されたマルウェアは、ワーム様の拡散やカーネルエクスプロイトなどの高度な技術を組み合わせて、システムリソースをハイジャックし、ユーザーに警告することなく攻撃者に継続的な収益を生成します。
従来のランサムウェアとは異なり、クリプトジャッキングは受動的な収益を生成し、継続的で進行中の脅威となります。
このマルウェアは、インターネットから隔離されたシステムや「エアギャップ」システムを含む、様々なシステムに侵入することができます。
これらの隔離されたシステムは、通常、重要インフラや研究など、セキュリティが最優先される環境で使用されます。
しかし、このマルウェアは外部ドライブ(USBスティック、ハードドライブ、その他のリムーバブルメディア)を主要な拡散手段として使用し、隔離を容易にバイパスします。
マルウェアはソーシャルエンジニアリング攻撃を経由してその旅を開始します。攻撃者は、生産性アプリケーションなどの正当なツールになりすまし、海賊版ソフトウェアにバンドルされた感染したソフトウェアを配布しています。
ユーザーがソフトウェアをインストールすると、マルウェアはシステムで実行を開始し、複数のペイロードをドロップして、永続的な感染を作成するために一緒に機能します。
このマルウェアの主要なコンポーネントの1つは「Explorer.exe」で、感染の中央制御者として機能します。
初期インストールから感染したマシンへの永続性の維持まで、攻撃のさまざまな段階を調整します。マルウェアは検出を回避し、寿命を確保するように設計されており、そのコンポーネントの一部は正当なWindowsプロセスになりすましています。
このマルウェアの独特な機能は、エアギャップシステムをバイパスする能力です。データ漏洩を防ぐために外部ネットワークから隔離されているエアギャップシステムは、しばしば非常に安全と見なされます。
しかし、このマルウェアは外部ドライブを橋として巧妙に使用し、外部デバイスと内部システム間の信頼できる接続を悪用しています。
マルウェアが外部ドライブを経由して実行されると、他のシステムに拡散し、それらを保護することを目的とした隔離を回避します。
この高度なマルウェアキャンペーンで実証されているように、エアギャップシステムは現代のサイバー脅威に対して免疫がありません。この攻撃は、高度なマルウェアが外部デバイスを利用して、最も高度なセキュリティ対策さえバイパスできる方法を示しています。
組織は外部デバイスのより強力な保護を実装し、隔離されたシステムであっても潜在的な脅威について継続的に監視されることを保証する必要があります。
定期的な更新と従業員の認識向上トレーニング、特に海賊版ソフトウェアのリスクに関するものは、これらのますます高度化した攻撃に対抗するために不可欠です。
翻訳元: https://cyberpress.org/malware-bypasses-air-gapped-security/