トレンドマイクロ、仮想通貨の無断マイニングを行うマルウェアがサーバー証明書による暗号化&秘匿を利用と報告

サイバーセキュリティ対策企業トレンドマイクロは、サイバー攻撃者が企業向けデータベース管理システムなどを展開するオラクルのアプリケーションサーバー「オラクル ウェブロジック サーバー」の脆弱性を悪用し、仮想通貨モネロ(XMR)のクリプトジャッキング(仮想通貨の無断マイニング)を行うマルウェアをインストールしていることを確認した。トレンドマイクロが、同社ブログにおいて6月10日に明らかにした

トレンドマイクロによると、確認できた攻撃は、ウェブサイトの所有企業の確認や、サイト訪問者が入力した情報を暗号化する際などに利用する電子証明書「証明書ファイル」を、悪意のあるファイルと判別できないように暗号化する手法として用いているという。

マルウェアの秘匿に証明書ファイルを利用する手法は、新しいものではない。これにより証明書ファイルの形式に従ったものとなるため、HTTPS接続時などにダウンロードしてしまったマルウェアが正常なものと見なされ、ウィルス検知システムによる検出の回避が成功してしまう可能性がある。」

ブログ記事によると、今回のマルウェアは、ウェブロジックの脆弱性(CVE-2019-2725)を悪用してWindowsのコマンドライン環境パワーシェル(PS)を実行し、攻撃者が指揮統制を行う指令サーバー(C2サーバー)から証明書ファイルをダウンロードするという。

またトレンドマイクロは、XMRのクリプトジャッキングを行うソフトのインストールなど、マルウェアの特徴を調査し続けた結果として、明らかな変化として次のように指摘した。

「復号化された証明書ファイルからPSコマンドが実行されると、他の悪意のあるファイルは、前述の暗号化を行わずともダウンロード可能となる。暗号化・難読化手法の有効性が現在検証されていることを示す可能性がある。他のマルウェアでも採用・拡大されることがうかがえる。」

翻訳・編集 コインテレグラフ日本版