CryptoSink

2019年、マルウェア研究者はCryptoSinkという名前の不正な暗号通貨マイニングキャンペーンを発見しました。攻撃者は既知の脆弱性を悪用して標的のシステムを侵害するようです。 CryptoSink操作で使用されるエクスプロイトは「CVE-2014-3120」と呼ばれ、Elasticsearchアプリケーションの古いバージョンに関連しています。問題のプログラムは、WindowsおよびLinuxシステムと互換性があります。この事実により、CryptoSinkキャンペーンの運営者は、脅威を両方のオペレーティングシステムに対応させました。

永続性の獲得

標的のシステムを危険にさらすために、CryptoSink脅威は悪名高いXMRig暗号通貨マイナーの改変型を挿入します。脅威がWindowsシステムに展開されているか、Linuxシステムに展開されているかに応じて、ホストでの永続性の獲得方法が異なります。 Windowsコンピューターで永続性を得るために、CryptoSink脅威はいくつかの基本的なトリックを使用します。ただし、CryptoSinkの脅威がLinuxシステムを危険にさらすと、永続性を得るためにはるかに複雑な手法を使用する必要があります。 CryptoSinkマルウェアがLinuxシステムに感染すると、すぐにいくつかの破損したペイロードがフェッチされ、攻撃者がマシンにバックドアアクセスできるようになります。 CryptoSink脅威も「rm」コマンドを変更すると報告されています。つまり、このコマンドが使用されるたびに、CryptoSinkマルウェアが実行されることを意味します。これにより、ユーザーがCryptoSinkマルウェアアクティビティにリンクされているファイルを削除しても、「rm」コマンドを使用するとすぐに脅威が再展開されます。

競合他社の削除

マイナーは、Monero暗号通貨用にマイニングするように設計されています。 CryptoSink脅威は、感染したコンピューターに別の暗号通貨マイナーが存在するかどうかも検出できます。競合するマイナーが検出された場合、CryptoSink脅威は活動を停止しようとします。ただし、CryptoSinkマルウェアは、システムを侵害した可能性のある他のマイナーを単に削除するだけではありません。システムがマイニングプールの事前構成リストに接続しようとすると、トラフィックはすぐに「127.1.1.1」にリダイレクトされます。これにより、競合するマイナーが事前に決められたマイニングプールに接続できなくなります。

CryptoSinkの操作は非常に高度であり、侵害されたホストからマイナーを削除するのはかなり難しいことがわかります。 CryptoSink脅威の除去に役立つ本物のマルウェア対策ソリューションがインストールされていることを確認してください。