ニュースの概要
- Talos が「Vivin」と命名して追跡している攻撃者は、遅くとも 2017 年 11 月には活動を開始し、今や大規模な暗号通貨マイニング攻撃を新たに展開しています。
- 「Vivin」は運用上のセキュリティ(OpSec)が貧弱で、キャンペーンの詳細がこちらに筒抜けです。しかしこの数年、手口が巧妙化し続けています。
Talos は、長期にわたって暗号通貨マイニングキャンペーンを仕掛けている新たな攻撃者を発見しており、チーム内で「Vivin」と命名して追跡しています。不正な暗号通貨マイナーを仕込む複数のマルウェアサンプルを Vivin に結びつけ始めたのは、2019 年 11 月のことでした。しかし、さらに調査を進めたところ、それよりもはるか以前から活動が続いていることが明らかになりました。調査によると、Vivin は 2017 年 11 月にはすでに活動を開始していて、感染ホストから数千米ドル相当の暗号通貨 Monero をマイニングしています。
Vivin は活動の中で、複数の暗号通貨ウォレットアドレスをローテーション方式で切り替えて使用し、さらにペイロードのデリバリチェーンも変更します。Vivian のデリバリ手法の興味深い点は、最初の攻撃ベクトルとして細工された海賊版ソフトウェアを利用し、その後は一般的な「Living off the land(環境寄生)」手法に移行することです。活動の隠蔽は最小限しか行いません。OpSec は不十分で、たとえば、観察されたサンプル中に発見されたものと同一の Monero ウォレットアドレスがオンラインフォームやソーシャルメディアに投稿されています。また、ターゲティングも手当たり次第です。感染者総数を可能な限り大きくすることを狙って、ターゲティングというよりはむしろ、ユーザの行動全般を利用しようとするものとなっています。
暗号通貨の市場価値が 2018 年に落ち込んだことをよそに、2019 年から 2020 年にかけて、暗号通貨マイニングは攻撃者に人気の手法であり続けています。昨年、Talos Incident Response は多くの暗号化マイニング攻撃を観察しました。その中には、連携のとれたサイバー犯罪集団が関与していると思われるものや、複数の攻撃者が協力していると思われるものがありました。高度な攻撃者が重大な脅威となることは間違いありません。しかしその一方で、手当たり次第に幅広くターゲットを定める巧妙ではない攻撃者も、引き続き脅威として把握しておく必要があります。Talos は以前、そのような攻撃者のひとつである「Panda」を取り上げ、被害者のリソースを長期にわたって悪用する潜在能力や、活動の抑制に対する反発力があることを紹介しました。Vivin や他の類似の攻撃者についても、組織リソースの不正使用やデータの盗難につながり得るリスクと捉えておく必要があります。
Vivin が攻撃キャンペーンで用いる戦術、技法、手順(TTP)は、さまざまな方法で防御することができます。たとえば、エンドポイント上での海賊版ソフトウェアの使用禁止、適切なイベントロギングとモニタリング、システムリソースのモニタリングといった、健全なシステム衛生管理です。より積極的に防御を図れる方法もあります。たとえば、マイニングプールやマルウェアの中間段階で使用されている URI をブロックします。検出シグニチャも、ターゲットとなったホストに XMRig マイナーが仕込まれて実行されることを防止できます。
新しい点:
悪意のある暗号通貨マイニングは、脅威の現状において今なお大きな勢力を占めています。Vivin から判断しても、これは長期にわたって効果的な攻撃キャンペーンとなっています。海賊版のソフトウェアがマルウェア拡散の手立てとして利用される事例は多くないものの、きわめて効果的な手口である可能性があります。
仕組み:
Vivin は、マルウェアを人気ソフトウェアに偽装するという形で、海賊版ソフトウェアを初期感染ベクトルとして利用していました。初期感染が完了すると、Vivin は一般的な Windows ツールに即座に移行します。インフラストラクチャとウォレットを必要に応じて入れ替えていくことによって、攻撃の効果を維持しています。
対策法:
- 海賊版ソフトウェアは危険な存在であり、マルウェアの巣窟となっている恐れがあります。Vivin のような攻撃者がもたらすリスクを緩和するには、海賊版ソフトウェアを企業ネットワークに入れないようにする必要があります。
- 攻撃者による LoLBin の利用は増加の一途をたどっています。LoLBin を利用した攻撃を、生産性を損なわずに確実に検出し、防止できることが不可欠です。
- 悪意のある暗号通貨マイニングから生み出される金額は依然として膨大であり、攻撃者は、必要な手段すべてを駆使してマイニングを継続します。
- OpSec は難しく、攻撃者はミスを犯します。今回の事例は、そのミスをどのような形で分析に活かせるのかを示すものです。
技術概要
Vivin については、時間の経過とともに TTP を多少変更させていることがわかります。わずかに変更するのは、Vivin が主として使う一般的なマルウェアツールが少しずつ変化していくためだと考えられます。最新または新規のパッカーの使用、徐々に手が加えられていく難読化の手法、PowerShell コードの構造の変更などが挙げられます。一方で、入手できたサンプルはすべて、基本となる実行の流れが同じでした。以下の技術説明は概ね、2019 年 11 月以降の活動のサイクルから観察されたサンプルに基づくものです。
初期感染の発端となるのは、広く利用されている生産性向上ソフトウェア、ツール、ゲームに似せたマルウェアが実行されることです。これらのファイルは、いずれも海賊版ソフトウェアのフォーラムや Web サイトを通じて入手されたと考えられます。サンプルの多くは、自己解凍型の RAR ファイルとして圧縮されています。これを解凍すると、本物のように見えるソフトウェアがインストールされ、悪意のあるファイルが密かに仕込まれます。観察対象として実行したサンプルの海賊版ソフトウェアでは、第 2 段階のペイロードが \AppData\Local\Temp に「setup.exe」として書き込まれます。目論見どおり実行された場合、JavaScript(”setup.js”)と VBScript(”dllm.vbs”)の両方のファイルを感染ホストの \AppData\Local\Temp フォルダおよび \Windows\Start Menu\Programs\Startup フォルダに仕込みます。
この実行チェーンの一環として、悪意のあるドメインとして知られる「csrss.publicvpn[.]com」にも接続し、TCP 接続を確立します。Talos による分析中は、サンプルが応答を受信することはありませんでした。このドメインや、綴りが似ているその他のドメインは、Vivin に紐づけられている他のサンプルに広く見受けられます。したがって、これらのホストはある種の司令塔として機能していると Talos は考えています。しかし、情報がまだ不足しており、正確な機能と目的はつかめていません。とはいえ、サンプルの残りの実行は、応答がなくても遅滞しません。最終的に、ドロッパーは悪意のあるスクリプトを即座に実行し、Windows タスクスケジューラを使用してジョブも作成します。すべてのサンプルに含まれていた「anydesk」[1] と呼ばれるこのジョブは、仕込まれた下記のスクリプトを 30 分間隔で実行するものです。
c:\windows\system32\schtasks.exe /create /sc minute /mo 30 /tn anydesk /tr c:\users\{ユーザ名}\appdata\local\temp\setup.js
このスクリプトには難読化された PowerShell コマンドが記述されていて、多数の連鎖的な PowerShell 呼び出しおよび追加のペイロードステージのダウンロードを実行します。Talos が当初発見したサンプルにあるコマンドは、画像ファイルであると思わせる「www[.]m9c[.]net/uploads/15758872491.jpg」の URL が含まれたページ「pastebin[.]com/raw/gc5dfjh9」にアクセスします。実際には、このファイルは追加の PowerShell コマンドおよび以後のペイロードの ASCII 表現が記述されている未加工テキストです。
これらの PowerShell コマンドは、記述されている悪意のある .NET アセンブリをリフレクティブに読み込みます。次に、連鎖的なメソッド呼び出しを通じて、32 ビットと 64 ビットのどちらのアーキテクチャで実行されているかなど、数種のロジックチェックを実行します。また、以下に示した「Hackitup」クラスの「exe」メソッドを呼び出して、さらなる難読化解除を実行します。最終的に「cmd.exe」を呼び出して、最後のペイロードで読み込まれて実行される構成オプションを構築します。
最後のペイロードは、XMRig クリプトマイナーの圧縮版バリエーションです。再構築された PE ファイルを調査したところ、UPX を使用して圧縮されたことが明らかになっています。また、このマイナーは下の図のように、バイナリから抽出できた一般的な構成で起動されます。XMRig は、「CryptoNight」アルゴリズムを利用して、ホストの CPU リソースの最大 80% までを暗号通貨 Monero のマイニングに使用するよう設定されています。抽出された構成文字列には Vivin の Monero 決済アドレスも含まれていて、Talos は Vivin を追跡するための出発点としてこのアドレスを利用しました。
Vivin のマルウェアには、実行可能ファイル全体にわたって大量の難読化テクニックと回避テクニックが採り入れられています。たとえば、最初のドロッパーは、何らかの形態の海賊版ソフトウェアをインストールします。関連プログラムの名前を使ったパスを使用して、インストールを欺こうとする場合もあります。Talos が観察した「PhantomPDF」というサンプルは、「F%3A/Software/Adobe/」にインストールされます。しかし、これは Adobe 社製ソフトウェアのデフォルトインストールパスではありませんし、PhantomPDF のデフォルトインストールパスでもありません。PhantomPDF は Adobe 社製ソフトウェアでさえありません。Adobe 社は PDF ソフトウェア関連の名称としてはおそらく最も有名ですが、このインストールパスや実行パスは、十分な注意を払わない人を欺くためのものでしょう。また、仕込まれる JavaScript ファイルや VBScript ファイルのソースコードにも、難読化のための大掛かりな細工が施されています。.NET アセンブリのソースコードも、大幅な難読化が施されているだけでなく、追加のファイルがディスクに書き込まれないようリフレクティブに読み込まれます。さらに、観測可能な XMRIg ペイロードはすべて UPX を使用して圧縮されていました。
Vivin は、感染ホスト上に XMRig マイニングソフトウェアを維持するため、多数の永続化手法も駆使しています。Windows スケジューラが使用され、setup.js を 30 分間隔で実行する「anydesk」ジョブが作成されていました。サンプルは、さまざまな形態の実行元ファイルである setup.exe、setup.js、dllm.vbs を \AppData\Local\Temp にコピーして、ディスク上に保持することを狙っていました。さらに、システムの再起動後にマルウェアを再度実行できるよう、スタートアップ項目を 2 ヵ所に作成しています。スタートアップ項目のひとつは、dllm.vbs と setup.js を \Windows\Start Menu\Programs\Startup に書き込むことによって作成されたものです。もうひとつは、dllm.vbs をレジストリキー「HKCU:\Software\Microsoft\Windows\CurrentVersion\Run」に登録することで作成されています。これらの手法はいずれも特に高度なものではありません。しかし、いくつもの手口が導入されていることで、感染したシステムから XMRig マイナーを完全に除去することが困難になる恐れもあります。
Talos が Vivin に紐づけたサンプルや実行チェーンは、いずれも XMRig を最後のペイロードとして仕込むものでした。しかし、一部については、その他のバリエーションを見て取ることができました。たとえば、サンプルによっては、最初のサンプルの JavaScript ファイルと機能上の役割が同一である VBScript ファイルを媒介役として仕込まれていました。別のサンプルでは、PowerShell の段階で参照される PE ファイル 1 つのみが含まれていて、リフレクティブに読み込まれる .NET アセンブリの内部に XMRig ペイロードが Base 64 エンコード文字列として隠蔽されていることもありました。あるサンプルはさらに興味深いもので、「MSBuild.exe」にアクセスできるかどうかを最初にチェックしていました。他のマルウェアでは、MSBuild にアクセスしようとするときに、次の段階のコンパイルをホスト上で実行しようとしたり、インラインタスク関数実行機能を使用しようとすることが観察されます。しかし、チェックが含まれていたサンプルはこれを行わず、XMRig 起動コマンドから cmd.exe までを実行しようとするものでしかありません。さらに、一部の XMRig ペイロードは、JSON コンフィギュレーション ファイルをコマンドラインで指定したり、最終的な XMRig バイナリへとパッケージ化したりするのではなく、仕込まれた JSON コンフィギュレーション ファイルを使用していました。
Vivin の追跡
Talos は、Vivin のキャンペーンが無差別なものであり、可能な限り多数のホストに感染して可能な限り多額の金銭を抜き出すことを意図していると確信しています。Vivin は活動が発覚するにつれて、使用するインフラストラクチャをおそらく更新しています。また、使用するウォレットアドレスをローテーション方式で切り替えています。こうしたアクティビティは、OpSec が総じて欠落していることを露呈するものです。サンプルで使用されるウォレット ID を、Reddit などのソーシャルメディアサイトに公然と投稿していることが観察されています。また、暗号通貨マイニングマルウェアの実行チェーンで使用されるサービスを含め、多数のオンラインアカウントにおいて、同一のユーザ名や多少変えただけのユーザ名を再利用しています。本ブログの執筆時点で、Talos は Vivin に直接結びつくエイリアスが 3 個あることを確認していますが、いずれも綴りが類似しています。
Talos が Vivin に結びつけた最初のユーザ名は、Reddit の投稿から見つかりました。その投稿では、最初のサンプルの XMRig ペイロードの中にハードコーディングされていたものと同一の Monero ウォレットアドレスが、投稿者のアドレスとなっていました。このユーザの投稿をさらに調査したところ、その他のウォレットアドレスが判明しました。また、暗号通貨 Monero のマイニング、XMRig の構成、各種マイニングアルゴリズムの効率性のさまざまな側面に持続的に関心を寄せていることも明らかになりました。XMRig ペイロードの構成で使用されているものと同一のプール用アドレスである minexmr[.]com マイニングプールで、アカウントに問題が生じていることも投稿していました。GitHub アカウントについても、XMRig 暗号通貨マイナーソースのフォークされたリポジトリが含まれている、Vivin に結びつく Reddit アカウントと同一のユーザ名を使用しています。また、このユーザは、マルウェアのパッケージ化と配布で使用されることの多い、ファイル暗号化ツール、ルートキット、プロセスの空洞化、その他のツールの無数のリポジトリが収容されている他のアカウントをフォローしています。さらに、画像とファイルのホスティングサイトを参照している未加工テキストリンクをアップロードした他の 2 つのエイリアスが、Pastebin 上にユーザとして見つかりました。これらのサイトリンクには、Vivin のマルウェアの中間段階で使用される PowerShell スクリプトが含まれています。
当初、Talos は Cisco Advanced Malware Protection(AMP)テレメトリ内に見つかった疑わしい PowerShell コマンドを調査することで Vivin の追跡に着手しました。しかし、これは最初の感染源ではありませんでした。最初の PowerShell コマンドに関係しているイベント実行の時間表を再現することによって、当初のドロッパーを時間を遡って追跡していったところ、海賊版「Foxit PhantomPDF」のインストールと思われるイベントにたどり着きました。このインストールに含まれていて最初に実行されたファイルを特定した後、動的分析と静的分析を実施すると、このファイルが感染源であると確認されました。ソフトウェアのインストールに関するファイル書き込み操作を追跡してみると、感染ホストに BitTorrent を通じてドロッパーがダウンロードされたと考えられます。当初のサンプルに含まれているこのドロッパーの親プロセスは、BitTorrent クライアントである uTorrent を参照しています。これを裏付ける他の証拠に、Vivin のエイリアスのひとつとして知られるユーザがあります。このユーザは、実環境で検知された悪意のあるサンプルと同一または類似の名前を使用して、Torrent フォーラムや Torrent サイトにファイルをアップロードしています。以下に例を示します。
本ブログの執筆時点で、Vivin は依然として活動を続けています。Talos は、Vivin に結びつくピボットポイントと識別子を収集した後、進行しているその他の活動にまで調査の対象を拡大しました。そして、オープンソースの研究ソースおよびその他のデータソースを通じて、これまでの活動のパターンを再現しました。この活動を最初に発見したのは、2017 年 11 月 20 日です。しかし、この日付はあくまで「最初に発見」した日であるため、Vivin の活動はこれよりも前から始まっていると考えられます。Vivin は多数の暗号通貨ウォレットアドレスを運用していて、その一部は休眠状態と活動状態を繰り返していることがわかります。紐づけられているその他のウォレットアドレスは、すでにボットネットアクティビティの疑いでマイニングプールから追放されています。
Talos は、Vivin に結びつく 2 つのクリプトマイナー ウォレット アドレスが最近活動していることを確認しました。最初の「45VgqBWVhgu5LHSafj4q5sB3wuYXGvrSs5N9KLH5Tijze9NbsvUSaaSjVk1vuGBMwY2eXEHtQf95CULQHGQbghU21x4aWLY」については、最初のサンプルの XMRig ペイロードにハードコーディングされていることを発見しました。下の図に示したとおり、このウォレットについては、2019 年 10 月 29 日に初めて、わずかなマイニングアクティビティが見られました。11 月 10 日から 30 日まで、このウォレットに関連するハッシュレートはほぼ直線的に安定して上昇しています。11 月 30 日を過ぎると、ハッシュレートはピーク時の約 20% まで劇的に低下し、そのレベルで 12 月 9 日まで活動が続いています。興味深いのは、このウォレットアクティビティの落ち込みが、発見されたインフラストラクチャのブラックリスト登録や既知の関連サンプルへの悪意のあるディスポジションの割り当てを Talos が開始してから、わずか数日後に生じていることです。アクティビティの 2 度目の落ち込みは 12 月 9 日に生じ、その後漸減が続きます。
2 番目のウォレット「434PuVPN5tQ6xQA7pdB7NsNTJHWvUD5tL7rmsX7uzJgNdCAx7wo4yESiy51aqCcr13ZoYb3TFq3zw11BFQJiF1tnHibZ6EA」は、Vivin のオンラインアカウントおよびアクティビティに対する OSINT 調査で発見されたものです。Vivin に結びつけられていた同一の Reddit ユーザが、2018 年後半にこのウォレット決済アドレスを MoneroMining サブレディットに投稿していました。さらに調査したところ、このウォレットは、少なくともマイニングプール「dwarfpool」で有効となっていた 2017 年 11 月 20 日から使用されていることが判明しています。このウォレットアドレスに関連するアクティビティは、2019 年 12 月 9 日に再び出現しました。このアドレスが観察されているのは、下の図に示したとおり、Vivin に結びつく最初のアクティブなウォレットアドレスと同一のプールである「minexmr」マイニングプール上です。
ここで、注目すべき点が 2 つあります。まず、新たなアクティビティのタイミングです。最初のウォレットアドレスの 2 番目の大きな落ち込みが、12 月 9 日に始まったことを思い出してください。これは、このウォレットアドレスの再出現と同じ日です。日付がこのように集中しているのは、インフラストラクチャ切り替えのタイミングであることを意味している可能性が高いでしょう。最初のウォレットアドレスを使用したマルウェアの積極的な拡散に関しては、新たな取り組みが一切行われていませんが、2 番目のアドレスを使用した積極的な操作は急増しています。これまでに述べたとおり、Vivin は、活動の発覚が進むとウォレットアドレスを再利用しながら、積極的な攻撃キャンペーンを周期的に実施していると Talos は考えます。これら 2 つのウォレットアドレスから洗い出されたタイミングと証拠は、Talos の主張の信憑性をいっそう高めるものです。
次に、後者のウォレットアドレスの合計ハッシュレートは、Vivin の他のアクティブなウォレットを桁違いに上回ることがわかります。これは、その特定のアドレスに結びつくマルウェアの感染率と拡散数がはるかに大きいことを示している可能性があります。本ブログの執筆時点で、Talos は 2 番目のウォレットアドレスに直接結びつく具体的なサンプルをテレメトリの中に確認できていません。しかし、VirusTotal のデータは、2017 年 12 月に遡れる提出済みのクリプトマイナーに、このアドレスを結びつけるものとなっています。Talos は、マルウェアサンプルのテレメトリとデータソースに加え、Vivin の継続的なアクティビティに結びつく関連インフラストラクチャを引き続きモニタリングしていきます。
軽減策
好都合な点として、Vivin の活動は洗練さを欠くものであり、クリプトマイナーの全般的な性質上、検出と予防については数多くの手段を利用できます。攻撃軽減の方法のひとつは、システムとユーザの振る舞いをモニタリングすることです。組織のホストとネットワークでの海賊版ソフトウェアの使用を制限することは、今回の調査で観測された初期攻撃ベクトルや、その他のマルウェア全般に対する軽減策になり得ます。Torrent サイトおよび海賊版ソフトウェアは、長期にわたり、不正な攻撃者がマルウェアを容易に配布するための経路となっています。システムとネットワークのモニタリングを利用すると、関連する振る舞いが発見された時点でアラートを送信することが可能になります。たとえば、エンドポイント上でリソースの使用率が極端に高い水準や異常な水準になっていないかどうかをモニタリングすると、クリプトマイナーのアクティビティを発見できます。Vivin は、システムの CPU リソースが最大 80% まで使用されるようにクリプトマイナーを設定しています。
システムレベルでの不要な変更や不正な変更を防止することは、感染ホスト上でのスタートアップオブジェクトやスケジューラタスクの作成など、Vivin が駆使する永続化戦術に加え、PowerShell の実行チェーンなど、中間段階での振る舞いの影響を軽減するうえでも有用になり得ます。
攻撃軽減のもうひとつの方法は、より積極的に検出と予防を行うことです。Vivin のマルウェアで使用される URI は、ブラックリストに登録してネットワークレベルでブロックできます。たとえば、マルウェアの中間段階をダウンロードして展開するための画像ホストリンク、司令塔となっているインフラストラクチャに関連する IP アドレス、マイニングプール自体に接続するためのドメインです。また、ウイルス対策をはじめとするエンドポイント セキュリティ サービスで使用されているシグニチャおよびその他の検出コンテンツは、XMRig などのクリプトマイナー アプリケーションを検出し、システムに不正にインストールされることを防止できます。この種の脅威を軽減するためのその他の推奨事項は、Cisco Talos のホワイトペーパー『シスコのセキュリティ製品で暗号通貨マイニングを防ぐ』にも記載しています。
まとめ
Vivin は長期間にわたって活動を続けています。ウォレットとマルウェア実行インフラストラクチャの多さや、OpSec に対する軽率さから見て、今後もしばらく活動を継続することが予想されます。おそらく最も重要なことは、Vivin が長期にわたってインフラストラクチャを継続的に再利用する意思を見せていることです。これまでに示したとおり、Vivin はインフラストラクチャの発覚が進んだ場合、マルウェアの反復実行と実行チェーンを放棄する可能性が高く、暗号通貨マイニングサービスを切り替えることもあり得ます。
ターゲットが絞り込まれていない攻撃や、さほど洗練されていない攻撃者は、つい軽視したくなります。しかし、Vivin のような攻撃者は、組織にとって深刻化し得る脅威なのです。Talos が Vivin に結びつけることができたウォレットアドレスを使用して、Vivin はすでに数千ドル相当の暗号通貨をマイニングしています。Vivin による 12 月 9 日の攻撃活動でハッシュレートが急上昇したことから、デリバリの手口や感染率が飛躍的に改善されていることも考えられます。XMRig を仕込むために使用されたマルウェアは、組織からリソースを吸い上げるほかに、データの盗難、クレデンシャルの収集、悪意のあるその他のアクティビティを企図して手が加えられる恐れもあります。Talos は、Vivin によるアクティビティを引き続きモニタリングし、情報を追加、更新していきます。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、Cisco ISR、Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SnortⓇ サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
IOC(侵入の痕跡)
IPS
116[.]203[.]234[.]128
116[.]203[.]29[.]111
ドメイン/URL
pastebin[.]com/raw/gc5dfjh9
pastebin[.]com/dr9bzymZ
mmc[.]publicvm[.]com:8002
csrss[.]publicvm[.]com
csrss[.]publicvm[.]com/Vre
csrss[.]publicvm[.]com:8094/Vre
csrss[.linkpc[.]net
csrss[.]linkpc[.]net/Vre
lsass[.]publicvm[.]com
mstsc[.]publicvm[.]com
spoolsv[.]linkpc[.]net
winlogon[.]publicvm[.]com
dwm[.]publicvm[.]com
www[.]m9c[.]net/uploads/15743593161.jpg
www[.]m9c[.]net/uploads/15723243711.png
www[.]m9c[.]net/uploads/15723168051.png
www[.]m9c[.]net/uploads/15572403801.jpg
www[.]m9c[.]net:80/uploads/15621655811.jpg
ddl3[.]data[.]hu/get/210358/11615096/Loader.jpg
SHA256S
aa6fa5b51a2e54a1aef50bc9ba3eb41b88b1834e867f09d2c8e29c0d41691ae6
2b48269eec1a294a52049cbd35ebd6f6097e1c486d60febe836378714657978a
da6908445649d30aff3f6ac9d9ec11c5f52c888c867ede766993c0fe731295fe
51f9a6d7574361bcf49962e2471a1d096db6c0d713ae07485b2791e74134513c
5dc7239df2e9fb497335cc846e09dfdd024e7345c44a96693022bedd240954de
4ac6131d639aa802302ab4cf32b959f9ab5ec76752cc297eb380d5c23d4a68f2
f476867d8152fcf0cb989b0e2c935db87c37162af33350874d671f99154752cf
8b7c197efab6f6c40b51df125d00e3de211ebb5123ee876f1992f03401559cda
31ac877d8c2c2a897eaff36b17d755466b8612ad2661510dd6b0d9484a2b1f6f
8aa5d523158838bf58a80744f031192314215a3d4c32c4f8644f93370828825b
ea647990182d7d3ac82ff9b6c99ed70a10473da16bc55eadb76131f78ed65fb9
79557c6d190d7daf34f10c7929facf56838ab27a5925f6f5197e1c0cbd660de3
524fbc5fff1e91adcd4c72ce83b7f33fa424acefafb198f1701484cedc17c590
9d7f2684a4efdb4738527d37b7995a40d819909d08e7443a6583231a1454b50b
705646f923a2412757bae71b60de0fef31284756768a59ef2057eaee7dfafe9f
a115451603cf9687c8c46945432033a942b4cd46a4209868e226e25a1a2e0ee1
d343e4b99b9cdaf2e7fc2283dda0e7e07cedf4bccf7f53869f2806b14113ab7d
4b71cc1af01417d8b17f1158bbfa53e0bb09a7dc16bbdf3edd8f2f99b8fc667d
f23ce16ad18907f0aa6957640dbe960daeaa33c714d0ca9f204a98800edc2df4
9d7066f441a5a3df894d018143ae2778175f18408c2fbab52442ed4ad178ae8f
25cc942e230b357a43297a8172a6700098b6ae152ef00acaa7e6a2c0fa07497d
5331924e1e5a634e55e7a3daaff3d5204eff50c4dc166d4d9d516510fb91fa4e
198a045c55710f8d32141c72e69b2cdd6c7a60b29ac9776046257897d612ceca
47928d09921466ddf1597e1ef7e8ac12397df7e616cd0c1710f4fa8a6384b439
d03054261a521440a7cfe281bd7d14f92610b54906df1dced8dbe6bc00e40029
暗号通貨の決済アドレス
現在アクティブ
45VgqBWVhgu5LHSafj4q5sB3wuYXGvrSs5N9KLH5Tijze9NbsvUSaaSjVk1vuGBMwY2eXEHtQf95CULQHGQbghU21x4aWLY
現在非アクティブ
44WzjC6ERyR7CMDXpkgVeGH9Tj4fnBeAuCdcaH79NkMPhKr3bQRKMKtJhzfhrmXJJ42sdFvAvg4b3L7zaYTwigeqBt9jDrQ
4589o168fmkBrMVoR3qPQyXiDR3w9EFa3DajGUjY38MKLiaR4N5HbdFT7hw3iEh2mRZsABYvkgcFWaW5crPJQtVZ9ihwutP
4AbjKdQkedGZXvzm6VxMJb1zLB2CAmCmXdoCisRsQFAUPs4TWFePDUcZzk5ui4EdZXT3uaXXtssqPCoKQPTz7PeZNkKASkm
434PuVPN5tQ6xQA7pdB7NsNTJHWvUD5tL7rmsX7uzJgNdCAx7wo4yESiy51aqCcr13ZoYb3TFq3zw11BFQJiF1tnHibZ6EA
本稿は 2020年1月21日に Talos Groupのブログに投稿された「Breaking down a two-year run of Vivin’s cryptominers」の抄訳です。