MENU

狙った環境でマイニング

ほぼこもセキュリティニュース

マイニングは、ビットコインなどの暗号資産において、取引データの承認・記録作業を行うプロセスです。
ネットワーク上の取引の正当性を証明し、ブロックチェーンという台帳に書き込む役割を果たします。
この膨大な計算の対価として、新しく発行された暗号資産(コイン)と取引手数料がもらえるため、これがマイニングの動機となります。

暗号資産のマイニングは、初期のころは個人のパソコンでも参加できましたが、現在では高度にシステム化されています。
専用の高性能なASIC(集積回路)を大量に稼働させることが主流となっており、消費電力の大きさが世界的な課題ともなっています。
こういった事情のため、現在、個人が利益を出すことは非常に困難とされています。
そこででてくるのが、他の人の計算機資源や電力を勝手に使って、マイニングしようという発想となります。

これまでのマイニングマルウェアは、どちらかというと無差別に大量に送り込んで、数を集めれば利益になるだろうという作戦のものが多くみられました。
しかし、最近展開されている脅威キャンペーンの中に、性質の異なるものがあることがわかりました。
それは、なるべく高性能の環境に絞って感染して勝手にマイニングしようというものでした。

  • 初期アクセス
    脅威アクターは、便利ツールの偽ダウンロードサイトを設置します。
    選ぶツールは、CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack、PDFgearなどのものです。
    これらのツールは、高性能システムの所有者が通常インストールすることが想定できるユーティリティソフトウェアです。
    こういった層のユーザの環境であれば、高性能GPUを所有している可能性が高いと想定できるということなのでしょう。
  • 現地環境整備
    偽ツールをダウンロードといっても、ダウンロードさせたものが全体的に偽物なのかというとそうではありません。
    無害なファイルをダウンロ度させて起動させるのですが、その無害なファイルの起動の際に、DLLサイドローディングで悪意あるファイルを起動させます。
    そしてScreenConnectをサイレントインストールします。
    ScreenConnectは、遠隔地にあるPCやデバイスを操作・管理するための、安全で高機能なリモートデスクトップ・ソフトウェアで、ITサポートやヘルプデスク、テレワークなどの目的で世界中の企業で利用されています。
    このツールを脅威アクターが侵害先の操作ツールとして設置してしまいます。
  • 永続化
    現地で動作できるようになると次に実施するのは、永続化です。
    利用できるようになったScreenConnectの機能を使ってファイルを送り込み、それによって永続化を実現します。
    複数の永続化手法を使用しようとする脅威活動は多くみられますが、このキャンペーンも同じでした。
    実に6種もの永続化手法を駆使します。
  • ステルス化
    脅威アクターは現地での活動をなるべく明らかにしたくありません。
    ここで実施するのが現地の活動のステルス化です。
    現地にある正規の.Netバイナリを使って、プロセスホローイングし、悪意ある機構を隠します。
  • 環境確認
    悪事のための準備活動の一つに、環境確認もあります。
    悪意ある活動を開始する前に、仮想マシンや分析ツールなどが侵害環境にないかを確認します。
    観測された例では、40種のソフトウェアの存在確認が実施されていました。
    いずれかの脅威アクターにとって都合のよくないものが確認された場合、活動を終了します。
  • マイニング開始
    すべての準備が実施された後、マイニングが開始されます。
    マイニングにはいくつかのツールが使用されますが、いずれもグラフィックス処理ユニット(GPU)を使用するように設計されたものとなっています。

数打てばいいだろう、ということではなく、侵害されたデバイス1台あたりのGPUマイニング収益を最大化するために、ゼロから設計されたターゲティングと収益化戦略をもった脅威キャンペーンだといえそうです。

何かを実施しようとする際にAIチャットボットに聞くところから始めることも多くなっていると思います。
今回の脅威キャンペーンの調査の中で、AIチャットボットの応答した内容に含まれるURLが攻撃者が管理するドメインへのリンクだった例も確認されています。
検索エンジンで得た結果を利用する際だけでなく、AIの出力の利用についてもよく考えることが必要ということですね。

From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities

https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。