スタンチンコボットネット

Stantinkoボットネットは2012年以来アクティブであることが知られています。その背後にあるサイバー詐欺師は、なんとかこのボットネットを7年間アクティブに保つことができました。これはかなり印象的です。スタンチンコボットネットの一部であるシステムのほとんどは、ロシア、ウクライナ、ベラルーシ、カザフスタンなどの旧ソビエト連邦の国々にあるように思われます。 。ほとんどのボットネットは、DDoS（Distributed-Denial-of-Service）攻撃に使用されます。ただし、Stantinkoボットネットの興味深い点は、そのサイズにもかかわらず、このボットネットはまだDDoS攻撃に使用されていないことです。代わりに、Stantinko Botnetのオペレーターは、大量のスパムメール、機密データの収集、偽の広告クリック、詐欺など、他のさまざまなキャンペーンで使用しています。

StantinkoボットネットはMoneroのマイニングに使用されます

最近、Stantinkoボットネットのオペレーターは、暗号通貨マイニングをタスクリストに追加することを選択しました。彼らは、攻撃者がわずかに変更したオープンソースプロジェクトのおかげで構築された暗号通貨マイナーを使用しています。このタイプの脅威のほとんどはXMRigに基づいていますが、代わりにStantinkoボットネットのオペレーターは「xmr-stak」プロジェクトを変更して使用することを選択しています。 Stantinko Botnetで使用されるマイナーは、Monero暗号通貨のマイニングに役立ちます。 Stantinkoボットネットの運用者は、マイニングモジュールを大幅に難読化して、はるかに複雑な分析を行っています。

YouTubeビデオの説明からIPアドレスを取得する

Stantinkoボットネットのオペレーターが使用するもう1つの難読化のトリックは、キャンペーンで使用される通信方法です。 Stantinkoボットネットの作成者は、固定マイニングプールを利用する代わりに、プラットフォームにアップロードするさまざまなYouTubeビデオの説明からIPアドレスを取得することを選択しました。もちろん、Stantinko Botnetが使用するアドレスはすぐには利用できませんが、最初にデコードする必要があります。

自己保存テクニック

マルウェアが侵害されたホストのすべての計算能力を使用していることを確認するために、この脅威の作成者は、システムに存在する可能性のある他の暗号通貨マイナーを検出できる機能を含めました。別のマイナーが検出された場合、Stantinkoボットネットの作成者が使用したマルウェアはそれを終了します。 Stantinkoボットネットのオペレーターも、暗号マイニングモジュールに自己保存技術を実装しているようです。マイナーは、ユーザーがWindowsタスクマネージャーを起動したかどうかを判断できます。起動している場合、マイニングモジュールはその活動を停止します。これは、ユーザーが使用されているCPUの量を見ると何かが間違っていることは明らかであるため、被害者に発見されるのを避けるために行われます。この巧妙なトリックにより、暗号通貨マイナーの活動を発見するのがはるかに困難になり、脅威が長期間にわたって動作し続ける可能性が高くなります。 Stantinkoボットネットは、侵入先のマシンに存在する可能性のあるマルウェア対策アプリケーションを見つけることもできます。ただし、興味深いことに、感染したホストにウイルス対策ソフトウェアが存在する場合でも、脅威の有害な活動を隠す手段はありません。

Stantinkoボットネットの背後にいる日陰の個人は、ネットワークを拡大し、7年間稼働した後でもアクティブな状態を維持しています。 Stantinkoボットネットは重大なトラブルを引き起こす可能性が非常に高く、長期間アクティブになった後、このボットネットを操作している犯罪者がいつでもすぐに活動を停止するつもりはないでしょう。