サイバーセキュリティ企業ソフォスは12月18日、仮想通貨モネロ(XMR)の無断マイニング(クリプトジャック)を行うMyKings(DarkCloud、Smominruとも呼ばれる)ボットネットに関するレポート発表した

ボットネットとは、悪意のあるソフトウェアを利用し乗っ取った「ゾンビコンピュータ」で構成されるネットワークのことで、MyKingsは2016年ごろから検出されているという。2018年1月には約9000XMR(約300万ドル。当時の価格で約3億円)を獲得しており、現在は1日当たり約300ドル(約3万2000円)を得ていると推測している。

MyKingsボットネットの感染対象は、MySQL・Microsoft SQL Server・ssh・リモートデスクトップ(RDP)・監視カメラ(CCTV)などを実行しているウィンドウズサーバー。2016年に米国家安全保障局(NSA)から盗み出されたぜい弱性攻撃ツール「EternalBlue」エクスプロイト、2017年にハッキング集団「Shadow Brokers」が公開した同種ツールを用いて感染。「Forshare」というバックドアツールを利用し、クリプトジャックを行えているか確認できるようにしているという。

また、感染したコンピューターが最も多い国は、中国、台湾、ロシア、ブラジル、米国、インド、日本の順番(2019年12月現在)だと指摘した。

マルウェアの実行コード部分を画像に埋め込み

ソフォスの研究者によると、悪意のある攻撃者はMyKingsに対してOSの起動前に実行可能なブートキット機能を追加しており、セキュリティソフトなどによる検出と削除に対する耐性を高めているという。MyKingsのほとんどのコンポーネントを削除しても、残った部分による自己更新により完全に復活してしまうそうだ。

また、MyKings開発者はオープンソースソフトウェアを好み、既存ソースコードのカスタマイズおよび強化に関する十分な知識と技術力を備えていると明らかにした。例えば、任意のデータを他のデータ内に埋め込む隠蔽技術「ステガノグラフィー」を用いて、マルウェアの実行コード部分(ペイロード/payload)を米アーティストのテイラー・スウィフト氏のJPEG画像に保存する実験を開始していると述べた。

(出典: ソフォス テイラー・スウィフト氏のJPEG画像に、マルウェアの実行コード部分を埋め込んでいる)

ソフォスによると、テイラー・スウィフト氏のJPEG画像をGithubにアップロードし、MyKingsボットネットの自動更新する実行ファイルを隠したという。


翻訳・編集 コインテレグラフジャパン