ASEC 分析チームは、韓国国内外を対象に拡散しているコインマイナーマルウェアをモニタリングしており、過去に多くのブログを通して様々なタイプのコインマイナーを通して、マルウェアの攻撃事例を紹介したことがある。最近ではイーサリアムクラシックコインをマイニングするマルウェアが確認されており、本記事で紹介する。
0. 概要
コインマイナーマルウェアはユーザーに認知されることなくインストールされ、システムのサポートを利用して仮想通貨を採掘するマルウェアとして、感染システムの性能低下を誘発する。コインマイナーを配布する攻撃者はこのような行為自体が不法であるため、追跡を妨害するために主にモネロ(Monero)のような匿名性を持っているコインをマイニングする傾向がある。そのため、実際の攻撃で確認されるコインマイナーマルウェアは、モネロコインマイナーツールである XMRig がその多くを占めている。
もちろんモネロ程ではないが、様々なコインを採掘するマイナーが攻撃に使用されることもある。代表的なものにはイーサリアムコインがあるが、イーサリアムはビットコインに続いて2番目に時価総額が大きい仮想通貨である。代表的な仮想通貨であるため、様々な採掘ツールが存在するが、lolMiner 以外にも Gminer、NbMiner、Trex、PhoenixMiner などがイーサリアムコインのマイニングをサポートしている。
参考に2022年9月にイーサリアムは PoW(Proof of Work)方式から PoS(Proof of Stake)方式に転換するアップグレードが行われた。すなわち、過去は採掘ツールを利用して CPU および GPU のようなシステムのサポートを消耗し、複雑な演算を解くコンセンサスアルゴリズムを使用してコインを報酬として受け取っていたが、今は PoS 方式に転換したことでマイニングプロセスが必要ではなくなったのである。
イーサリアムは過去に The DAO ハッキング事件以降、2016年7月にハードポークプロセスを通して新規バージョン(現在のイーサリアム)と、既存のバージョン(イーサリアムクラシック)に分類した。PoS 方式に転換したのはイーサリアムであり、イーサリアムクラシックは現在も PoW 方式を使用している。
モネロコインに比べて相対的に数は少ないが、イーサリアムコインとイーサリアムクラシックコインを採掘するマイナーマルウェアは、以前から配布され続けている。もしイーサリアムコインの採掘が不可能になってイーサリアムコインを採掘するマイナーが消えても、イーサリアムクラシックコインはまだ採掘が可能であるため、これを採掘するマイナーマルウェアは現在も拡散が続いている。上記で扱った様々な採掘ツールは、イーサリアム以外にもイーサリアムクラシックもサポートしているため、今も攻撃者が採掘に使用している。
1. イーサリアムコインマイナーの攻撃事例
1.1. Discord を利用した配布事例
2021年に ASEC ブログを通してイーサリアムコインを採掘する攻撃事例について取り扱った。[1] 攻撃者は Roblox ゲームハックに偽装して韓国国内ユーザーを対象に Discord を通して配布しており、様々なマルウェアとともにユーザーシステムに lolMiner をインストールしてイーサリアムコインを採掘していた。


- 攻撃者のイーサリアムのウォレットアドレス : 0x5421D5E7028a5B7DF436FEE75C59d9977ddbfd0D
1.2. dnSpy ツールを偽装した攻撃事例
これ以外にも2022年1月にはオープンソース .NET バイナリ解析ツールである dnSpy を偽装したマルウェアが配布されたが、ここにイーサリアムをマイニングするコインマイナーに含まれていた。Bleeping Computer によると攻撃者は GitHub だけではなく、公式 HP に偽装したサイトを生成してユーザーにマルウェアが含まれた dnSpy をインストールするように誘導していた。[2]
実際のマルウェアは圧縮ファイルにあるモジュールの中で dnspy.dll ファイルの内部に存在する。ユーザーが dnSpy を実行すると、dnSpy.dll がロードされ、内部に存在する dnSpyPlus.exe という名前の難読化された .NET ダウンローダーをメモリ上にロードして実行する構造である。dnSpyPlus は以下のように様々なコマンドを実行して、タスクスケジューラーに様々なコマンドを登録し、周期的に動作するようにしている。

登録されるコマンドは Defender Control (Windows Defender 無効化ツール)、Quasar RAT、ClipBanker、イーサリアムマイナーを含む様々なマルウェアをインストールするコマンドである。この攻撃の特徴としては VBS コマンドをタスクスケジューラに登録して mshta で実行するという点と、マルウェアのインストールに curl を利用するといった点がある。
インストールされる様々なマルウェアの中でも m.exe はコインマイナーマルウェアであり、同じパスに NbMiner を生成して設定情報を含む引数とともに実行させ、感染システムからイーサリアムコインを採掘する。

> nbminer.exe -a ethash -o stratum+tcp://asia2.ethermine.org:4444 -u 0x4dd10a91e43bc7761e56da692471cd38c4aaa426.[省略]
- 攻撃者のイーサリアムのウォレットアドレス : 0x4dd10a91e43bc7761e56da692471cd38c4aaa426
2. イーサリアムクラシックコインマイナーの攻撃事例
2.1. イーサリアムクラシックへの変化
ASEC 分析チームでは最近、コインマイナーマルウェアをモニタリングしている際に、イーサリアムクラシックコインをマイニングするマルウェアが配布されていることを確認した。最初に配布された方式は確認されていないが、以下のように Curl を利用してダウンロードされ、インストールされる関連ファイルのうち Defender Control、ClipBanker などの dnSpy を偽装して拡散している事例と似た形態であることが確認された。

それ以外にも関連情報を確認していたところ、実際のポーランドの IT フォーラムである elektroda.pl で、このマルウェアの実際の感染事例を確認することができた。タスクスケジューラーに登録されたコマンドを見ると、当社 ASD(AhnLab Smart Defense) インフラログで確認されたファイルのパス名およびダウンロードアドレスと同じであり、登録された様々なコマンドが実際に上記の dnSpy 偽装マルウェアの事例と酷似していることが分かる。[3]

具体的に見ると VBS コマンドを実行する mshtaをタスクスケジューラに登録して動作させる方式と、Windows Defender を無効化させる様々なコマンドが登録されたという点が確認できる。そして Curl を利用してマルウェアをダウンロードするといった点と、インストールされるマルウェアのタイプがほぼ同じである。異なる点としては、従来はイーサリアムコインを採掘するマイナーが使用されていたが、最近確認されている形態はイーサリアムクラシックコインを採掘しているという点である。
各アドレスごとにダウンロードされるファイルが異なりはするが、確認されたアドレスにインストールされるタイプはイーサリアムクラシックコインマイナー、ClipBanker タイプと Windows Defender の無効化ツールである Defender Control がある。それ以外にも RAT およびインフォスティラータイプのマルウェアもインストールされる。以下はそれぞれのマルウェアについて簡単に整理したものである。
A. イーサリアムクラシックコインマイナー
インストールされるコインマイナーマルウェアは「%APPDATA%\DnsCache\dnsCleaner.exe」パスに生成される。dnsCleaner.exe はドロッパーマルウェアであり、同じパスに dnscache.exe という名前でコインマイナーを生成後、引数を渡して実行させる。生成されたコインマイナーは lolMiner をインストールするタイプもあり PhoenixMiner をインストールするタイプもある。
以下はそれぞれの事例別に生成されるコインマイナーのタイプおよび引数情報、すなわち攻撃者のウォレットアドレスである。
lolMiner

PhoenixMiner #1
“%APPDATA%\DnsCache\dnscache.exe” -log 0 -pool ssl://asia1-etc.ethermine.org:5555 -log 0 -pool2 ssl://us1-etc.ethermine.org:5555 -wal 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6. [省略]
PhoenixMiner #2
“%APPDATA%\DnsCache\dnscache.exe” -log 0 -pool ssl://asia1-etc.ethermine.org:5555 -log 0 -pool2 ssl://eu1-etc.ethermine.org:5555 -wal 0x4dd10a91e43bc7761e56da692471cd38c4aaa426.[省略]
- 攻撃者のイーサリアムクラシックウォレットアドレス1 : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
- 攻撃者のイーサリアムクラシックウォレットアドレス2 : 0x4dd10a91e43bc7761e56da692471cd38c4aaa426
B. CLIPBANKER
ClipBanker はクリップボードのデータを比較し、もし仮想通貨のウォレットアドレスである場合は、これを攻撃者のウォレットアドレスに変更するタイプのマルウェアである。ClipBanker は感染システムで動作し、ユーザーがコピーしたデータ、すなわちクリップボードが文字列である場合、以下のように正規表現式にマッチするかを検査する。

それぞれの正規表現式はビットコイン、イーサリアム、ライトコインなど様々なコインのウォレットアドレスを検証するのに使用される。もし正規表現式にマッチする場合、攻撃者のウォレットアドレスに変更するが、以下はそれぞれのコイン別に変更される攻撃者のウォレットアドレスリストである。
– Bitcoin P2PKH (btc1) : 16ks5o3U2Vdo9ZVM22whdhaEB7PqitbFyR
– Bitcoin P2SH (btc3) : 3JzzbKbSpKcgxa95xym1JBJRRgv1Ps5azu
– Bitcoin Bech32 (btcbc2) : bc1qnswqxhwlq32vcfy8j8s227amt74j7vhxfnhwx6
– Ethereum (eth) : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
– TRON (trx) : TDvZcjZ6tDVL3Hsc8dPK99bSr3QL2MmhAb
– Stellar (xlm) : GBMNM7KM7CKNK4BNOPWCXRDZ4HI572RW4V7TEJSCHPUFTS5I4BFIW7IY
– Ripple (xrp) : rw4bq6adT8gPQfNLxrv7Cq83CxQPANw4BR
– Litecoin (ltc) : LWwWkjczWKohkxVvqj5W22G3j2PSRmnUT6
– NEO Coin (nec) : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
– Bitcoin Cash (bch) : qrjrvnw4y7mztw9pm2p3j2yennt9g27n3u9pksahg7
参考に NEO コインのウォレットアドレスとイーサリアムのウォレットアドレスが同じであることが特徴である。
C. QUASAR RAT
以前に偽装 dnSpy を配布した事例のように Quasar RAT は最近も使用されている。攻撃者は「OldBot」という名前、すなわちタグのついた Quasar RAT を攻撃に使用していた。

Quasar RAT の C&C アドレスは、上記のルーティンで確認される外部アドレスから求められる。実際にこの Web サイトにアクセスすると Quasar RAT の C&C サーバーアドレスを確認できる。

D. VIDAR INFOSTEALER
攻撃者はそれ以外にも Vidar を攻撃に使用していた。Vidar はアカウント情報以外にも Web 履歴、Cookie、仮想通過ウォレットアドレスなどの様々なユーザー情報を窃取するインフォスティラーマルウェアであり、情報窃取の他にも追加マルウェアをインストールするダウンローダー機能もサポートしている。
最近配布されている Vidar は Steam、Telegram、Mastodon のように様々なプラットフォームを活用して C&C アドレスを手に入れている。[4] 以下は攻撃に使用された Vidar が接続する Steam および Mastodon プロフィール web ページであり、まだ C&C アドレスが書かれていることが分かる。

3. 結論
以前 dnSpy に偽装したマルウェアを配布し、イーサリアムコインを採掘した攻撃者は、最近になって採掘不可になったため、イーサリアムクラシックコインを採掘する方向に戦略を変更したものと推定される。現在配布形式は確認されていないが、攻撃者は過去に公式 HP に偽装した Web サイトを配布経路として使用した履歴がある。
ユーザーは未知の経路からダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Malware/Win32.RL_Generic.C4124695 (2020.06.14.01)
– Infostealer/Win.Vidar.R540446 (2022.12.13.01)
– Trojan/Win.Hpgen.R534371 (2022.11.14.01)
– Trojan/Win.ClipBanker.C4446208 (2021.04.30.02)
– Trojan/Win.Generic.R533377 (2022.11.07.02)
– Trojan/Win.Hpgen.R532433 (2022.11.01.02)
– Backdoor/Win32.QuasarRAT.R341693 (2020.06.27.06)
– HackTool/Win.Disabler.R442117 (2021.09.20.03)
– CoinMiner/Win.Generic.R551967 (2023.01.17.02)
– Win-Trojan/Miner3.Exp (2020.01.23.00)
– CoinMiner/Win.PhoenixMiner.R263897 (2021.04.13.00)
ビヘイビア検知
– Malware/MDP.Behavior.M2318
– SystemManipulation/MDP.DisableWindowsDefender.M2769
IOC
MD5
– 5503eec7cb0ca25f1ecb0702acd14fba : イーサリアムクラシックマイナー (m.jpg)
– 436efede151a6b24171e4f7e7deb07bc : イーサリアムクラシックマイナー (m.jpg, u.exe, obs.exe)
– aa2294040015cedbf94a56845f80e144 : イーサリアムクラシックマイナー (m.jpg)
– 51ff42d909a879d42eb5f0e643aab806 : PhoenixMiner (dnscache.exe)
– 1b2878db748ddb13a90444ab36bae825 : lolMiner (dnscache.exe)
– 76b091bf16f1c11a72c4df12974215f0 : ClipBanker (b.exe)
– 54539d31c30670f1f9c0104ed1b6e661 : Quasar RAT (m.jpg)
– 8a49833ca67c783481869f99fba5566e : Vidar InfoStealer (obs.exe)
– f7bf1fd41df3159c5d6142c2b696bef3 : Vidar InfoStealer (obs.exe)
– 1575b49ffd9402c9b9186d803d491732 : Vidar InfoStealer (obs.exe)
– ad7858b9bbe0bdccae61cff787024ef9 : Vidar InfoStealer (obs.exe)
– 0a50081a6cd37aea0945c91de91c5d97 : Defender Control (d.exe)
C&C
– hxxps://priv8note[.]net/r/ipcontent : Quasar RAT
– 149.102.129[.]194:22 : Quasar RAT
– hxxps://steamcommunity[.]com/profiles/76561199436777531 : Vidar C&C
– hxxp://95.217.29[.]31/1758
– hxxp://116.202.3[.]192/1758
– hxxp://49.12.113[.]223/1758
– hxxps://mas[.]to/@ofadex : Vidar C&C
– hxxp://95.217.31[.]129/1758
– hxxp://88.99.120[.]225/1758
– hxxp://195.201.252[.]143/1758
– hxxps://mas[.]to/@jogifoy492 : Vidar C&C
– hxxp://95.216.182[.]219/1758
– hxxp://95.217.246[.]41/1758
– hxxp://95.217.27[.]155/1758
– hxxps://c[.]im/@xinibin420 : Vidar C&C
– hxxp://95.216.181[.]10/1758
– hxxp://95.216.182[.]38/1758
ダウンロードアドレス
– hxxp://176.57.150[.]117/m.jpg
– hxxp://176.57.150[.]117/b.exe
– hxxp://176.57.150[.]117/d.exe
– hxxp://176.57.150[.]117/u.exe
– hxxp://176.57.150[.]117/obs.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報