DirtyMoeマルウェア

いくつかの異なる暗号通貨によってもたらされたさらに印象的な価値の向上に刺激された人気の急激な上昇は、以前のニッチなセクターを一般の注目を集めました。脅威アクターもこの傾向に気づき、すぐにその傾向を悪用する方向にシフトしました。多数のボットネットとマルウェアツールが作成されたか、暗号マイニング機能が装備されていました。攻撃者は、侵害された何千ものシステムのリソースを乗っ取り、それらを使用して特定の暗号通貨のコインをマイニングすることができます。このタイプの最新かつ最も洗練されたマルウェアツールの1つは、DirtyMoeマルウェアです。これまでのところ、脅威はロシアの標的に対して活用されてきましたが、犠牲者はヨーロッパやアジアの国々でも検出されています。 infosecの研究者によると、DirtyMoeに感染した10万台近くのマシンが現在アクティブになっています。

DirtyMoeの初期バージョンは、NuggetPhantomという名前でinfosecの研究者によって追跡されており、不安定でサイバーセキュリティ製品に簡単に捕らえられることがよくありました。ただし、それ以降、マルウェアは大幅に進化し、現在では、複数の検出および分析防止技術を示す、とらえどころのないモジュール式の脅威となっています。

DirtyMoeの攻撃チェーンは、ハッカーがいくつかのエクスプロイトに対して脆弱な被害者を探すことから始まります。そのうちの1つは、2017年に出現した悪名高いEternalBlue （CVE-2017-0144）の脆弱性ですが、明らかに、脅威の攻撃者が有害な操作で悪用し続ける価値があると感じるのに十分なセキュリティで保護されていないシステムが残っています。 DirtyMoeが好むもう1つのエクスプロイトは、Internet Explorerにあるスクリプトエンジンのメモリ破損の脆弱性（CVE-2020-0674）です。被害者は、安全でないURLを含むフィッシングメールを介して誘惑されます。

モジュラー構造

DirtyMoeマルウェアの主な特徴は、そのモジュール性です。主成分はDirtyMoeCoreです。ダウンロード、更新、暗号化、バックアップの作成、およびDirtyMoeの脅威の保護を担当します。 Coreは、破損したコードをDirtyMoe Executionerにフィードする役割も果たします。DirtyMoeExecutionerは、名前が示すように、それを実行します。挿入されたコードは、MOEオブジェクトまたはモジュールのいずれかの名前が付けられ、操作のコマンドアンドコントロールサーバーからフェッチされます。

マルウェア脅威の特定の動作は、脅威アクターの目標に合わせてさらに調整できます。サイバー犯罪者は、DirtyMoeに、目的の機能を搭載した暗号化されたペイロードをダウンロードして、それを自分自身に挿入するように命令できます。数時間で、DirtyMoeの何千ものインスタンスをこの方法で変更できます。実際、DirtyMoeを使用して、DDoS攻撃を開始したり、暗号マイニングアクティビティを実行したり、データコレクター、ランサムウェア、トロイの木馬などの追加の脅威的なペイロードを配信したりできます。

強力な隠蔽と自己防衛能力

DirtyMoeは、VMProtectを使用して、主要な脅威のコアを保護します。また、サービス、レジストリエントリ、ドライバーの非表示など、ルートキットに通常見られるいくつかの機能を示すWindowsドライバーを利用します。さらに、感染したマシンのシステムボリューム上の特定のファイルを非表示にするか、新しく作成されたプロセスに任意のDLLを挿入するようにドライバーに指示することができます。ネットワーク通信も強力な技術によって実現されます。脅威は、1つのハードコードされたドメインにDNS要求を行うために使用するハードコードされたDNSサーバーのセットを運びます。ただし、最終的なIPアドレスとポートについては、DirtyMoeは異なるシーケンスのDNS要求を使用します。その結果、DirtyMoeは、最終的なIPがブロックされることに抵抗するようになります。また、Google、Cloudflare、および同様のサービスなどのDNSサーバーへのDNS要求をブロックすることも事実上非現実的です。