MyKingsボットネット

MyKingsボットネット（SmominruおよびDarkCloudとも呼ばれます）は、しばらく運用されているボットネットであり、Windowsベースのパッチが適用されていないサーバーまたはパッチが適用されたサーバーを対象とする傾向があります。問題のサーバーは、WMI、Telnet、RDP（リモートデスクトッププロトコル）、MS-SQL、ssh、MySQLなどのさまざまなサービスをホストする傾向があります。レポートによると、最も影響を受ける国は中国（全被害者の18％）です。 、台湾（11％）、ロシア（7％）、ブラジル（7％）、米国（6％）。明らかに、およそ44,000の一意のIPアドレスがあり、MyKings脅威の存在について陽性であることがテストされています。 MyKingsボットネットの最終目標は、侵害されたホストに暗号マイナーをインストールし、Forshareトロイの木馬を使用して、植え付けられたすべてのマイナーが意図したとおりに実行されるようにすることです。このキャンペーンで使用される暗号通貨採掘者は、Monero暗号通貨のマイニングを行っています。これまでのところ、MyKings Botnetの運用者は、驚異的な9,000 XMRを生成しており、これは約300万ドルです。

侵害されたホストから競合する脅威を削除

MyKings Botnetは、侵入先のホストに他のマルウェアが存在するかどうかを認識できます。脅威が競合するマルウェアの存在を検出した場合、最大の効率を確保するために削除されます。さらに、MyKingsマルウェアは、アンチウイルスツールにリンクされている可能性のあるプロセスをスキャンすることができます。何かが検出された場合、MyKings脅威はそれらを確実に終了し、中断されずに実行されるようにします。 MyKingsコンポーネントは自己更新できるため、脅威が引き続き強力になります。これは、自己解凍可能なWindowsバッチファイルとRARアーカイブの助けを借りて実現されます。

ステガノグラフィを使用

MyKings Botnetのオペレーターは、破損したペイロードを隠すために、かなり革新的な手法であるステガノグラフィーを使用することを選択しました。攻撃者は、一見無害に見えるテイラー・スウィフトの写真に、脅威の悪い実行可能ファイルを埋め込みました。変更された.jpgファイルを使用して、悪意のあるデータを隠します。ただし、マルウェアの専門家は、典型的なMZヘッダーテキストとバイトが含まれているため、それを見つけることができました。このトリックは、MyKingsの脅威が最新のアップデートを適用するのに役立ちます。 MyKingsの脅威は、Windowsレジストリを改ざんして、感染したホストで永続性を獲得します。ブートキットは、システムの再起動時にMyKingsマルウェアが実行されるようにします。

MyKingsボットネットは、これまでのところ、オペレーターに多大な現金を生み出しており、脅威を更新し続けることを念頭に置いて、近い将来この操作を停止しない可能性があります。