Tor2Mineはクリプトマイナーです。
これは新しいものではなく少なくとも2年以上前から活動が観測されています。
そのTor2Mineに、いくつもの新しい亜種が確認されています。
こんな動きをします。
- マルウェア保護を無効化して入ってくる
- 侵入先のWindows管理者権限の取得を試みるPowerShellスクリプトを使用する
- 管理者権限が取得できた場合、永続化のためにマイナーを保存し、採掘を実施しながら、横展開する
- 管理者権限が取得できなかった場合、ファイルレスで採掘を実施しながら、横展開する
- マイナーのC2への通信がオフラインになっても、マイニングと横展開を継続する
これは厄介です。
1台残らず駆逐完了するまで、感染拡大の脅威は終わりません。
マルウェア保護機能を無効化する動きを監視することなどによって検出することはできますが、そもそも中に入れてしまうことが問題でしょう。
日々のタイムリーなパッチ適用の重要性が増してきていると感じます。
参考記事(外部リンク):New Variants of Tor2Mine Cryptominer Feature Enhanced
Evasion, Persistence and Spreading Powers, Sophos Reports
www.sophos.com/en-us/press-office/press-releases/2021/12/new-variants-of-tor2mine-cryptominer-feature-enhanced-evasion.aspx
この記事をシェア |
---|