「Adylkuzz」という名前の暗号通貨マイナーがEternalBlueおよびDoublePulsarマルウェアを介してネットワークを攻撃します

悪名高いWannaCryRansomwareが2017年のサイバーセキュリティニュースで話題になりましたが、悪意のある攻撃者が同じエクスプロイトを同時に使用して、Adylkuzzという名前の暗号通貨マイナーを広めていました。 WannaCryと同様に、 AdylkuzzはリークされたNSAハッキングツールを使用してMicrosoft Windowsネットワークの脆弱性を活用し、感染したデバイスのネットワークを無効にしました。

2017年、大規模なランサムウェア攻撃がEternalBlueを悪用して、世界中のLANとワイヤレスネットワークに感染しました。 EternalBlueは、NSAハッキングツールのShadowBrokersダンプの一部として識別されています。 TCPポート445でMicrosoftServerMessage Block MS17-010の脆弱性を利用して、脆弱なコンピューターを検出し、悪意のあるペイロードを伝播します。EternalBlueをDoublePulsarと呼ばれる別のNSAバックドアツールと組み合わせて、攻撃者は悪名高いランサムウェアの脅威WannaCryをインストールしました。

しかし、研究者は、EternalBlueとDoublePulsarの両方を使用してコンピューターに感染する別の大規模な攻撃を検出しましたが、今回はAdylkuzzと呼ばれる暗号通貨マイナーを使用しました。

この発見は、EternalBlueに対して脆弱なラボマシンを意図的に公開した後に行われました。サイバーセキュリティの研究者は、EternalBlueを介した悪用に成功すると、デバイスがDoublePulsarに感染したことを発見しました。次に、DoublePulsarは、Adylkuzzを別のホストから実行するための道を開きました。 SMB通信をブロックした後、マイナーは被害者のパブリックIPアドレスを特定し、特定のクリーンアップツールとともにマイニング手順をダウンロードしました。 Adylkuzzは、この特定のインスタンスでMonero暗号通貨をマイニングするために使用されています。この攻撃に関連するいくつかのMoneroアドレスの1つを観察すると、そのアドレスに22,000ドルが支払われた後にマイニングが停止したことがわかります。 1つの特定のアドレスに関連付けられた1日あたりのマイニング支払いは、攻撃者が定期的に複数のアドレスを切り替えて、1つのアドレスに転送されるMoneroコインが多すぎることを回避していることも示しています。

Adylkuzzの一般的な症状には、共有Windowsリソースへのアクセスの喪失やPCのパフォーマンスの低下が含まれます。大規模な企業ネットワークに対するWannaCry攻撃が疑われるいくつかのケースでは、身代金メモがないことは、報告されたネットワークの問題が実際にAdylkuzzアクティビティに関連していることを意味します。研究者は、マイナーが影響を受けるコンピューター上のSMBネットワークをシャットダウンし、同じ脆弱性による追加のマルウェア脅威のインストールを防ぐため、Adylkuzzインストール統計がWannaCry攻撃よりもはるかに重大な影響を示唆しているとさえ主張しています。したがって、Adylkuzzは、その期間中のWannaCryの伝播を実際に制限した可能性があります。調査中に、スキャンおよび攻撃する20を超えるホストと、12を超えるアクティブなAdylkuzzコマンドアンドコントロールサーバーが特定されました。

現在、リークされたEternalBlueおよびDoublePulsarハッキングツールによって悪用された脆弱性にパッチが適用されているため、個人および組織はWindowsコンピューターを常に最新の状態に保つことが求められます。