最新ニュース

ヨーロッパの空港は暗号マルウエアに冒されていることが判明!

投稿日:

 

 

このほど、海外のサイバーセキュリティ企業の調査に取り、ヨーロッパの国際空港で大規模仮想通貨マイニング感染が発見されました。調査の結果、空港内のワークステーションの半数以上がマイニングマルウエアに感染していたと報告しています。

 

 

 

ヨーロッパの空港はマルウエアで汚染!?

 

 

大手サイバーセキュリティ企業であるサイバービット社(CYBREBIT)は、同社が提供するソフトウエアがヨーロッパの国際空港で大規模な仮想通貨マイニング感染をしていた事実を発見したと公式ブログ投稿にて明らかにしました。

同社ソフトウエアを搭載している空港のワークステーションの半数以上がマイニングマルウエアに感染しており、ヨーロッパの国際空港で高度な行動検出および脅威ハンティングプラットフォームであるCyberbit EDR(欧州預託証券)を展開中に発見されています。

マルウエアについてさらなる分析に基づいて調査を実施した結果、2018年8月、グローバルセキュリティー情報を提供するゼットスケーラー(Zscaler)社によって報告されたアンチコインマイナーキャンペーンに関連付けられたとしています。

 

 

マルウエア検出の経緯

 

 

サイバービット社は、仮想通貨マイニングはパフォーマンスの低下およびネットワークへのサービスの中断、電力消費の大幅な増加よりも、空港ビジネスへの影響が少ないと強調しています。

 

同社は空港側がウイルス対策ソフトウエアのみにセキュリティ対策を依存し続けていた場合、おそらく検出されないままだったとブログ内で語っています。

ヨーロッパの国際空港で同社エンドポイント検出および応答(EDR)展開をしている際、仮想通貨マイニングソフトウエアが空港のワークステーションの50%以上にインストールされており、仮想通貨マイニングマルウエアの感染を特定しました。

 

 

被害回避策とは

 

 

サイバービットアナリストチームは、アラートを調査し、正当なプロセスをホワイトリストに登録することで、回避活動の正確な検出を実現できると述べています。
さらに調査チームはPAExecツールの疑わしい使用について警告しており、player.exeと呼ばれているアプリケーションの起動をさせるため、短期間で複数回使用された形跡を発見したと報告しています。
PAExec使用の多くは悪意あるアクティビティ、さらにはツールの繰り返し使用を示してると語っています。

また、player.exeの実行後にはReflective DLL Loadingの使用も検出されており、Windowsローダーを使用せずにプロセスにDLLをリモートから挿入し、ハードドライブへのアクセスを回避する手法で、反射型DLLの読み込みは、悪意のあるファイルの読み込みを隠すために攻撃者が使用する典型的な防御回避策とのこと。

 

同マルウエアはCyberbit EDRのインストール前の数カ月間使用されていた可能性があり、すべてのワークステーションには業界標準のウイルス対策が装備されていました。
これら2つの不審な動作の組み合わせにより、優先度の高いEDRアラートが検出され、調査に進み、EDR動作グラフ分析を使用して一連のイベントを分析するに至ったと分析の経緯を明かしています。

 

発見されたマルウェアは、計算にシステムリソースを使用するマイナーに典型的な短い時間枠で複数のプロセスを実行するという動作が見られており、拡散した攻撃者側はおそらくビットコインマイナーではないかとみられています。
マルウエアの目的を理解するため、さらなる分析を開始した結果、ゼットスケーラーによって報告された「CryptoMiner Variant#2」に関連付けられたとのこと。

 

ゼットスケーラーが2018年8月にこのマルウエアを報告してから1年以上が経過していますが、VirusTotalの73個の検出製品のうち16個のファイルが悪意のあるものとして検出されたと述べています。
実行されていないときにワークステーションの50%以上に存在することを発見しており、エンドポイントからマルウエアを削除し、その実行能力をブロックしたとのことです。

最悪のシナリオでは、攻撃者は、滑走路灯から手荷物処理機やエアトレインに至るまでの重要な運用システムを危険にさらす事も考えられていたと結論付けている今回のマルウエア発見。
やはり、空港のパブリックコンピューターは危険だという認識をより一層認識するべき時が来たのかもしれませんね。

 

 

※参考サイト:CYBERBIT



-最新ニュース
-, ,

Copyright© Crypto Go , 2019 AllRights Reserved.