複数ライセンス割引見積
脅威データベース マルウェア StaryDobry 攻撃

StaryDobry 攻撃

マルウェアMezoまで
翻訳内容:
日本語

人気のシミュレーションゲームや物理ベースのゲームを探しているプレイヤーは、知らないうちにWindowsシステムに隠れた暗号通貨マイナーをインストールしている可能性があります。サイバーセキュリティ研究者は、コード名StaryDobryと呼ばれるこの大規模な活動を2024年12月下旬に初めて特定しました。このキャンペーンは約1か月間続き、世界中の多数のマシンが侵害されたと報告されています。

採掘に活用される高性能マシン

この攻撃は主に複数の地域の個人ユーザーと企業の両方をターゲットにしており、ロシア、ブラジル、ドイツ、ベラルーシ、カザフスタンで感染率が顕著でした。強力なハードウェアを備えたゲーム環境に重点を置くことで、攻撃者は秘密裏にマイニングを行う効率を最大化しました。

ルアーとして使われる人気ゲーム

この攻撃は、脅威となるインストーラーを有名ゲームの正規コピーに偽装する手法を採用していました。おとりとして使われたタイトルには、BeamNG.drive、Garry's Mod、Dyson Sphere Program、Universe Sandbox、Plutocracy などがありました。脅威アクターは、2024 年 9 月という早い時期にこれらのトロイの木馬化されたインストーラーをトレント サイトにアップロードしており、この攻撃が綿密に計画されていたことがわかります。

感染したインストーラーがステルス攻撃チェーンを誘発

これらのいわゆる「リパック」をダウンロードした無防備なユーザーには、標準的なインストール プロセスのように見えるものが表示されました。セットアップ中に、隠されたドロッパー ファイル (「unrar.dll」) が展開され、バックグラウンドで実行され、感染の次の段階が開始されました。

高度な回避テクニックの実践

ドロッパーは先に進む前に、仮想化環境やサンドボックス環境で実行されていないことを確認するために複数のチェックを実行し、高度な回避能力を実証しました。その後、api.myip.com、ip-api.com、ipwho.is などの外部サービスに接続して IP アドレスを収集し、ユーザーの所在地を特定しました。この手順が失敗すると、理由は不明ですが、システムに中国またはベラルーシのデフォルトの所在地が割り当てられました。

複雑な多段階実行プロセス

マシンのフィンガープリントが取得されると、ドロッパーは「MTX64.exe」という別のコンポーネントを復号化して実行しました。この実行ファイルは、その内容を「Windows.Graphics.ThumbnailHandler.dll」としてシステム ディレクトリに保存しました。この実行ファイルは、正当なオープン ソース プロジェクトである EpubShellExtThumbnailHandler に基づいており、Windows Shell Extension 機能を悪用して、次のペイロード「Kickstarter」をロードしました。

Kickstarter コンポーネントは暗号化されたデータ BLOB を抽出し、ユーザーの AppData ディレクトリ内の隠しフォルダに「Unix.Directory.IconHandler.dll」という名前でディスクに書き込みました。その後、この新しいファイルは、実際の暗号通貨マイナーを含むリモート サーバーから最終段階のペイロードを取得しました。

ステルスマイナーの展開とプロセス監視

検出を回避するために、マイナーの実行は厳重に監視されていました。タスク マネージャー (「taskmgr.exe」) やプロセス モニター (「procmon.exe」) などのシステム監視ツールを継続的にチェックしていました。これらのプロセスのいずれかが検出されると、調査を回避するためにマイナーは直ちに終了されました。

選択的マイニング用に調整された XMRig

この攻撃の核心は、 XMRigマイナーのカスタマイズ版でした。このマイナーは、少なくとも 8 コアの CPU でのみ起動し、侵入したマシンが効率的にマイニングを行うのに十分な処理能力を持つことを保証しました。さらに、攻撃者は、パブリック マイニング プールに頼るのではなく、独自のプライベート サーバーを設定し、マイニング収益を自分たちのインフラストラクチャにのみ振り向けました。

XMRig は、コマンドライン命令を解析する組み込み機能を活用しながら、アクティブな監視ツールをチェックするための別のスレッドを維持していました。この永続的な自己防衛メカニズムにより、マイニング活動がユーザーから隠されていました。

ロシアの手がかりを伴う謎の脅威

攻撃の規模と巧妙さにもかかわらず、犯人の身元は不明のままです。しかし、研究者は攻撃の構成要素の中にロシア語の文字列が埋め込まれていることを発見し、攻撃がロシア語を話す脅威アクターによって行われた可能性があることを示唆しています。

StaryDobry 攻撃は、検証されていないソースからソフトウェアをダウンロードすることに伴うリスクを浮き彫りにしています。サイバー犯罪者は、ゲーム インストーラーを餌として利用することで、侵入したシステムにひそかに存在し続けながら、隠れたマイナーを展開することに成功しました。この事件は、脅威アクターが欺瞞的な戦術を洗練させ続けているため、オンラインでソフトウェアを入手する際には注意が必要であることを強調しています。

トレンド

Suaiqi アプリ

望ましくない可能性のあるプログラム
デバイスに侵入型プログラムや潜在的に不要なプログラム (PUP) が存在しないことを確認することは、セキュリティ、プライバシー、システム パフォーマンスを維持するために不可欠です。Suaiqi アプリなどの一部のアプリケーションは無害に見えますが、追加の脅威をもたらしたり、ユーザー データを危険にさらしたりする可能性があります。このようなソフトウェアの動作方法と配布に使用される戦術を理解する...

マージチェーンソリューションズ

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネットには、ユーザーを操作してセキュリティを侵害する可能性のある行動を取らせようとする欺瞞的な Web サイトがあふれています。Mergechainsolutions.co.in と呼ばれるページは、不正で信頼できないドメインとしてフラグ付けされています。サイバーセキュリティの専門家は、この Web サイトは誤解を招くような手法を使用してユーザーのブラウザー通知を制御し、他の疑わしい...

Loadpremiumapp.monster

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
警戒せずにインターネットを利用すると、望ましくないアプリケーションを配布したり、ユーザーを騙して煩わしい通知を許可させたりするために設計された詐欺的な Web サイトなど、さまざまなセキュリティ リスクにさらされる可能性があります。Loadpremiumapp.monster は、その疑わしい活動によりサイバー セキュリティの専門家の注目を集めているプラットフォームの 1 つです。このサイト...

最も見られました

Discord 灰色の画面で立ち往生

問題
71,528
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,700
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
63,060
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...