ホーム » 仮想通貨

GitHub、Netlify経由でコインマイナーを配信、脆弱性の悪用事例を解説

投稿日:2022年1月25日
脅威カテゴリ:脆弱性, 攻撃手法
執筆:Trend Micro

2021年初旬、共通脆弱性識別子「CVE-2021-41773」が割り当てられたセキュリティ上の弱点が「Apache HTTP Server Project」に公開されました。これは、Apache HTTP Serverのバージョン2.4.49に内在するパストラバーサルおよびリモートでコードが実行される（RCE）脆弱性です。この脆弱性が悪用されると、攻撃者はエイリアスのようなディレクティブにより構成されたディレクトリ外のファイルにURLを関連付けることが可能になります。また、エイリアスされたパスに対してCGI（Common Gateway Interface）スクリプトが有効になっている特定の設定下では、攻撃者がこの脆弱性をリモートコード実行に悪用する可能性もあります。最初にリリースされた修正（2.4.50）では不十分と判明した後、この修正に対するバイパスが報告されたことから、「CVE-2021-42013」として追跡調査が行われました。

その後、公式に修正されたバージョン（2.4.51）が、Apache HTTP Server Projectによってリリースされました。ただしトレンドマイクロでこの脆弱性を悪用する検体を分析したところ、攻撃者が暗号資産（旧仮想通貨）「Monero（XMR）」の不正マイニングを実施するために、脆弱な製品やパッケージに内在するさまざまな弱点を狙って、これらの脆弱性を突くエクスプロイト（脆弱性攻撃ツール）の多くを悪用していることを確認しました。本ブログ記事では、暗号資産採掘ツール（コインマイナー）やスクリプトをホストするためにGitHubおよびNetlifyのリポジトリやプラットフォームが悪用された手口について解説します。トレンドマイクロは今回確認した不正活動についてすでにGitHubおよびNetlifyに報告しており、問題のアカウントには停止措置が取られています。

(さらに…)

偽の暗号資産マイニングアプリで被害者を広告へ誘導、定期購読料金の支払いを求める

投稿日:2021年9月24日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

トレンドマイクロでは最近、クラウド上での暗号資産（旧仮想通貨）マイニングアプリを装ったモバイル詐欺アプリを８件検出しました^※。アプリの説明によると、ユーザはクラウド上でのマイニングに投資し、暗号資産を獲得することができるとされています。しかし、実際にアプリを解析してみると、このアプリはマイニング機能向上と称して広告へと誘導し、月額平均15USドル程度の定期購読サービスに加入させるだけであることが分かりました。弊社が調査結果をGoogleに報告すると、当該アプリはPlay Storeから直ちに削除されました。

※弊社ではAndroidOS_FakeMinerPay および AndroidOS_FakeMinerAとして検出します。

(さらに…)

仮想通貨Moneroを発掘するマルウェア「PCASTLE」が再び中国を標的に、多層的なファイルレス活動により拡散

PowerShellを悪用してマルウェアを拡散する手法は、これまでにも行われてきました。PowerShellの利用は、実際に「ファイルレス活動」を行う多くの脅威が使用する一般的な手法です。トレンドマイクロは、定期的に遭遇するこのような種類の脅威を、挙動監視技術によってプロアクティブに検出してブロックします。例えば、「スマートパターン」は、不正なPowerShellスクリプトによってスケジュールに登録されたタスクをプロアクティブに検出します。他にも、「Server Message Block（SMB）」の脆弱性を突く攻撃、辞書攻撃と考えられるログイン試行、不正な仮想通貨発掘活動に関連する通信などの活動の痕跡を検出するネットワークルールがあります。
(さらに…)

仮想通貨を発掘する不正なDockerコンテナを確認、Shodanを利用して露出したAPIを検索

トレンドマイクロは、コンテナを狙う不正活動を監視するための取り組みの一環として、APIを露出させたDockerホストを実行するPCをハニーポットとして設置しました。Dockerは、コンテナベースの脅威によって最もよく狙われるシステムのひとつです。このハニーポットを設置して監視した目的は、攻撃者がこのDockerホストを発見し、ユーザが望まないコンテナを展開するために利用することを検出するためでした。最近、ハニーポットの状態を確認したところ、1つのイメージ（コンテナのスナップショット）が既にこの環境に展開されていたことが分かりました。
(さらに…)

3種類の攻撃を実行するボット型マルウェア「AESDDoS」の亜種、脆弱性「CVE-2019-3396」を利用

投稿日:2019年5月24日
脅威カテゴリ:ボットウイルス, フィッシング, スパムメール, サイバー犯罪, 脆弱性
執筆:Trend Micro

ボット型マルウェア「AESDDoS」の亜種（「Backdoor.Linux.AESDDOS.J」として検出）が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。

弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。

分散型サービス拒否（Distributed Denial of Service、DDoS）攻撃
遠隔からのコード実行（Remote Code Execution、RCE）
仮想通貨の発掘

(さらに…)

2018年「法人」を狙う三大脅威：仮想通貨流出とビジネスメール詐欺から考える今後の対策

本ブログでは、2018年1月～11月に発生したサイバー脅威から、2018年の脅威動向に関する速報を連載形式でお伝えしています。法人利用者を狙う脅威としては、①止まらない情報漏えい被害と漏えい情報を使用した攻撃、②取引所からの仮想通貨流出、③ビジネスメール詐欺が三大脅威であると分析しています。第3回の今回は法人利用者に対する脅威の中から「取引所からの仮想通貨流出」と「ビジネスメール詐欺」から今後のセキュリティ上の課題を考えます。

図：2018年国内の法人を狙う三大脅威

(さらに…)

「ファイル感染型コインマイナー」を確認。既存ランサムウェアのコードを再利用

投稿日:2018年4月19日
脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report
執筆:TrendLabs フィリピン

サイバー犯罪者は金儲けの機会として仮想通貨に注目し、他者のリソースを乗っ取って仮想通貨の発掘(マイニング)を行う不正マイニングに仮想通貨発掘ツール（コインマイナー）を利用しています。そして、2018年に入り、仮想通貨をマイニングするマルウェアが頻繁に確認されています。トレンドマイクロは、4月だけでも既に、仮想通貨「Monero（XMR）」をマイニングする Android 端末向け不正アプリ「HIDDENMINER（ヒドゥンマイナー）」や、Web広告の改ざんによる仮想通貨発掘ツール（コインマイナー）の拡散などの事例を報告しています。そして今回、トレンドマイクロでは、ファイル感染型ウイルスの活動を併せ持つ、いわば「ファイル感染型コインマイナー」を初めて確認しました。

今回確認されたファイル感染型コインマイナーは、トレンドマイクロの製品では「PE_XIAOBAMINER（シャオバマイナー。以下、XIAOBAMINER）」として検出されます。XIAOBAMINER は、マイニングだけでなくファイル感染活動や USBワーム活動の機能を備えています。トレンドマイクロでは XIAOBAMINER の亜種を既に2種確認しています。弊社の解析によると、XIAOBAMINER は、2017年10月に確認されたランサムウェア「XiaoBa」に不正コードに酷似しており、XiaoBa のコードを再利用して、マイニング機能やワーム拡散機能を追加した破壊的なファイル感染型ウイルスとしてのコインマイナー「XIAOBAMINER」が作り上げられたようです。

(さらに…)

仮想通貨を狙うフィッシング詐欺、既に闇市場での「サービス化」も確認

2017 年以降、仮想通貨を狙うサイバー犯罪の動向に注目が集まっています。現在、仮想通貨を狙う攻撃では、仮想通貨発掘ツール（コインマイナー）を使用した発掘（マイニング）を利用者のリソースを盗用し不正に行う手法が主流となっていますが、今後は利用者の所持する仮想通貨を直接的に窃取する手法も拡大してくるものと推測されます。今回のブログ記事では、既存のフィッシング詐欺でも Web 上の仮想通貨関連サービスの認証情報が狙われ始めていること、そして、既にその動きを加速させるアンダーグラウンドマーケット（闇市場）の動きが確認されていることもお伝えします。

図：3 月に確認された国内仮想通貨取引所を狙うフィッシングメールの表示例
（サンプルを元に再構築）

(さらに…)

なぜ流出？国内でも発生した仮想通貨取引所を狙う攻撃を振り返る

2017 年以降、仮想通貨を狙うサイバー犯罪者の動きが顕著になってきています。特に、2018 年に入り国内で立て続けに発生した仮想通貨取引所からの仮想通貨流出事故は、仮想通貨自体の信頼性や安全性にも関わる問題とされ大きな注目を集めています。なぜ、取引所から仮想通貨は流出してしまったのでしょうか？本ブログ記事では、国内で発生した仮想通貨取引所から仮想通貨を窃取する攻撃について、海外も含めた過去事例なども踏まえて考察します。

(さらに…)

不正な Chrome 拡張機能「DROIDCLUB」、正規ストア利用者 42 万人に影響か

トレンドマイクロの「Cyber Safety Solutions チーム」が、数百万ユーザに影響を与える Chrome の不正な拡張機能（「BREX_DCBOT.A」として検出）を確認しました。利用されている最も古い C&C サーバにちなんで「DROIDCLUB（ドロイドクラブ）」と名付けられたこのマルウェア（ボット）は、Chrome の拡張機能として拡散し、ユーザが訪問した Web サイトに広告や仮想通貨発掘コードを注入します。

(さらに…)

Page 1 of 212