GuardiCoreのセキュリティーチームが6日、悪意のあるトラフィック操作と仮想通貨マイニング活動を発見したと発表した。これにより、金融、教育、政府機関など、さまざまな分野にわたって4万台以上のコンピューターがマルウェアに感染していた。
The GuardiCore security team has discovered a malicious traffic manipulation and cryptocurrency mining campaign, according to an announcement published June 6. The campaign infected over 40,000 machines across various industries, including finance, education, and government.
「Operation Prowli」と呼ばれるこの活動では、マルウェアを拡散し、ウェブサーバー、モデム、IoT(モノのインターネット)機器といったデバイスを乗っ取るため、エクスプロイトやパスワード総当たり攻撃といったさまざまな手法が用いられていた。GuardiCoreが気づいたのは、Prowliを陰で支えるアタッカーらがイデオロギーやスパイ活動というよりも、むしろ金銭に目を向けているということだ。
報告書によると、被害にあったデバイスはモネロ(XMR)マイナーとr2r2ワームに感染していた。r2r2ワームはハッキングされたデバイスからSSHへの総当たり攻撃を実行するマルウェアで、Prowliが新たな被害者を襲うのを支援する。つまり、r2r2はIPアドレスブロックをランダムに生成することでユーザー名とパスワードの辞書ファイルを用いた総当たり攻撃を行い、SSHへのログインを試みる。そして侵入後、被害者に対して一連のコマンドを実行するのである。GuardiCorenoは次のように発表している。
「攻撃は全て同じような振る舞いをしていたうえ、同一のC&Cサーバーと通信することで仮想通貨マイナーと併せてr2r2と名付けられた攻撃ツールを多数ダウンロードしていた」
その上、サイバー犯罪者らは「WSO Web Shell」という名のオープンソースのウェブシェル(webshell)を使い、被害にあったウェブサイトを改ざんすることで悪意のあるコードをホストさせていた。このコードはサイト訪問者をトラフィック分散システムへとリダイレクトするもので、訪問者はその後、その他の様々な悪意のあるサイトへとリダイレクトされることになる。偽のウェブサイトにリダイレクトされた時点で、ユーザーは悪意のあるブラウザ拡張機能をクリックさせられる被害者となるのだ。GuardiCoreのチームはProwliが9000社以上もの企業に不正侵入したと報告している。
先月、新型のクリプトジャッキング・マルウェアが50万台のコンピューターを使って3日で133モネロをマイニングした。サイバーセキュリティ会社の360 Total Securityは、「WinstarNssmMiner」と呼ばれるマルウェアがマイニング能力と感染したコンピュータをクラッシュさせる能力を有していることで、ユーザーにとっての新たな課題となっていることを発見した。