複数ライセンス割引見積
脅威データベース マルウェア XMRig クリプトジャッキング キャンペーン

XMRig クリプトジャッキング キャンペーン

マルウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

徹底的な調査の結果、海賊版ソフトウェアバンドルを利用してカスタマイズされたXMRigマイナーでシステムを感染させる、高度なクリプトジャッキング攻撃キャンペーンが明らかになりました。この攻撃はソーシャルエンジニアリングを多用し、クラックされたオフィス生産性向上スイートなどの無料の有料アプリケーションを宣伝することで、ユーザーにトロイの木馬化されたインストーラーをダウンロードさせようとしています。

これらの悪意のある実行ファイルは、主要な侵入口として機能します。実行されると、巧妙に仕組まれた感染プロセスが開始され、仮想通貨のマイニング出力を最大化するように設計されますが、多くの場合、システムの安定性が犠牲になります。このキャンペーンが欺瞞的な配布戦術に依存していることは、ソフトウェアの海賊版がマルウェアの配信チャネルとして依然として有効であることを浮き彫りにしています。

複数の動作モードを備えたモジュール型感染エンジン

攻撃の中核を成すのは、感染ライフサイクルの司令センターとして機能する多機能バイナリです。インストーラー、ウォッチドッグ、ペイロードマネージャー、そしてクリーンアップユーティリティとして機能し、展開、永続化、監視、そして潜在的な自己削除を監視します。

このマルウェアはモジュール設計を採用しており、監視機能とマイニング、権限昇格、そして永続化を担うコアペイロードを分離しています。運用の柔軟性は、異なる実行モードを可能にする特定のコマンドライン引数によって実現されています。

パラメータなし: 環境検証を実行し、初期段階のインストールと移行を処理します。

002 Re:0 : プライマリペイロードをドロップし、マイナーを起動して監視ループに入ります。

016 : マイナーが終了した場合は再起動します。

barusu : 自己破壊シーケンスを開始し、マルウェアコンポーネントを終了し、関連ファイルを削除します。

この構造化されたモード切り替えアプローチにより、回復力が強化され、防御措置が講じられた場合でも持続的な採掘活動が保証されます。

埋め込みロジック爆弾と時間指定の廃止

このマルウェアの注目すべき特徴は、ロジックボムが組み込まれていることです。バイナリはシステムのローカル時刻を取得し、ハードコードされた期限である2025年12月23日と比較します。

  • 2025 年 12 月 23 日より前に実行されると、マルウェアは永続的なインストールとマイナーの展開に進みます。
  • この日付以降に実行されると、「barusu」パラメータを使用して自動的に再起動し、制御された自己廃止プロセスを開始します。

事前に設定された期限は、キャンペーンがその日まで継続的に実行されることを意図していたことを示唆しています。期限は、レンタルされたコマンドアンドコントロールインフラの有効期限、予想される暗号通貨市場の変化、あるいは後継マルウェアへの戦略的移行などに対応している可能性があります。

BYOVDによる権限昇格とマイニングの最適化

標準的な感染ルーチンでは、自己完結型のキャリアとして機能するバイナリが、必要なすべてのコンポーネントをディスクに書き込みます。その中には、悪意のあるマイナーDLLをサイドロードするために悪用される、正規のWindows Telemetryサービス実行ファイルも含まれています。

セキュリティツールを無効にするコンポーネントに加え、永続化メカニズムも導入されています。マルウェアは、実行権限の昇格を確実にするために、欠陥のあるドライバ「WinRing0x64.sys」を使用したBYOVD(bring-your-own-vulnerable-driver)手法を採用しています。このドライバは、CVSSスコア7.8の脆弱性であるCVE-2020-14979の影響を受けており、権限昇格を許します。

このエクスプロイトをカスタマイズされたXMRigマイナーに直接統合することで、攻撃者はCPU構成を低レベルで制御できるようになります。この最適化により、RandomXのマイニングパフォーマンスは約15%から50%向上し、収益性が大幅に向上します。

ワームのような伝播と横方向の移動

ユーザーによる初期実行のみに依存する従来のトロイの木馬とは異なり、このXMRig亜種は積極的な拡散機能を備えています。リムーバブルストレージデバイスを介して積極的に拡散し、エアギャップ環境を含むシステム間での横方向の移動を可能にします。

このワームのような機能により、マルウェアは自己増殖型の脅威に変化し、組織ネットワーク内でのマルウェアの到達範囲が大幅に拡大し、ボットネットの規模が拡大します。

運用タイムラインと戦略的影響

法医学的証拠は、2025 年 11 月を通して断続的な採掘活動が見られ、その後 2025 年 12 月 8 日から顕著な増加が始まったことを示しています。このパターンは、早期発見を回避することを目的とした段階的な展開または有効化戦略を示唆しています。

このキャンペーンは、コモディティマルウェアの継続的な進化を浮き彫りにしています。ソーシャルエンジニアリング、正規ソフトウェアのなりすまし、ワーム型の拡散、そしてカーネルレベルのエクスプロイトを組み合わせることで、脅威アクターは、持続的かつ最適化された暗号通貨マイニングを可能にする、耐久性と高性能を兼ね備えたクリプトジャッキングボットネットを構築しました。

トレンド

プライベート文書が準備されているというメール詐欺

フィッシング, スパム
今日の脅威情勢において、迷惑メールや予期せぬメールへの対応には細心の注意を払うことが不可欠です。サイバー犯罪者は、受信者を操り機密情報を漏洩させるために、詐欺メッセージを正当なメールに偽装することがよくあります。いわゆる「プライベート文書が作成されました」というメールは、正当な企業、組織、団体とは一切関係がありません。実際には、ログイン認証情報を盗み出し、アカウントを乗っ取ることを目的とした、巧妙に作成されたフィッシング詐欺です。 「個人文書が作成されました」という電子メール詐欺とは何ですか? 「個人文書が作成されました」というメッセージを徹底的に分析した結果、フィッシング詐欺であること...

アメリカン・エキスプレス - アカウントアクセスの更新が必要というメール詐欺

フィッシング, スパム
今日のデジタル環境において、予期せぬメールへの対応には警戒を怠らないことが不可欠です。サイバー犯罪者は、信頼できるブランドを装い、受信者を騙して機密情報を漏らすことがよくあります。いわゆる「アメリカン・エキスプレス - アカウントアクセスの更新が必要です」というメール詐欺は、まさにそのようなフィッシング攻撃の一つです。これらのメールは、本物のアメリカン・エキスプレスを含む、いかなる正当な企業、組織、団体とも一切関係がありません。むしろ、ユーザーの信頼を悪用して金銭的利益を得ようとする詐欺師によって作成されています。 詐欺の詳細 詳細な分析の結果、「American Express - ア...

AISURU/Kimwolf ボットネット

ボットネット, 高度な持続的脅威 (APT)
AISURU/Kimwolfとして追跡されている分散型サービス拒否(DDoS)ボットネットは、ピーク時31.4テラビット/秒(Tbps)という前例のない攻撃に関与していたことが判明しました。極めて激しい攻撃であったにもかかわらず、攻撃時間はわずか35秒と短時間でした。このインシデントは2025年11月に発生し、現在までに観測された最大のDDoS攻撃として記録されています。 ハイパーボリュームHTTP攻撃の増加 セキュリティ研究者は、この事象が、2025年第4四半期にAISURU/Kimwolfによって引き起こされたハイパーボリュームHTTP DDoS活動の広範な急増の一部であると特定しま...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
36,687
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
29,392
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
29,248
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...