ZombieboyMiner は 70,000 台のコンピューターを制御して Monero を採掘しています

0x1 概要
Tencent Yujian Threat Intelligence Center は最近、ZombieboyTools を使用して拡散するマイニング型トロイの木馬ファミリーの最新の活動を検出しました。このトロイの木馬は、公開されているハッキングツール ZombieboyTools を改変し、その中にある NSA 攻撃モジュールをパッケージ化して利用し、パブリックおよびイントラネット IP アドレスを攻撃し、影響を受けたマシン上でペイロードファイル x86/x64.dll を実行して、さらにマイニングおよび RAT (リモートアクセスコントロール) トロイの木馬を埋め込んでいました。

脆弱性スキャン攻撃ツール ZombieboyTools

テンセントの Yujian Threat Intelligence Center は 2017 年 12 月に Zombieboy トロイの木馬に関する情報を公開し、競合他社も 2018 年 5 月と 7 月に関連情報を公開しました。

本レポートでは、まず、2018 年 8 月 14 日にハッカーによって登録され使用された C2 ドメイン名 fq520000.com とそのサンプルを分析します。次に、数回の攻撃における Zombieboy トロイの木馬の攻撃手法、悪意のあるコードの特徴、C2 ドメイン名、IP、ポートの特徴を比較することで、攻撃の発信元が ZombieboyMiner ギャングと呼ばれる同じギャングに属していると推測します。
テンセントの玉建脅威情報センターが監視したところ、ZombieboyMinerトロイの木馬が約7万台のコンピューターに感染しており、監視データからウイルスが非常に活発に活動していることがわかった。

Anchacha ZombieboyMiner は 70,000 台のコンピューターを制御して Monero を採掘しています
ミニプログラム

感染したコンピューターは全国に分布しており、広東省、江蘇省、浙江省が上位3位を占めている。

テンセント Antu 高度な脅威追跡システムギャング情報の照会

0x2 詳細分析

ZombieboyMiner の攻撃プロセスは次のとおりです。

ZombieboyMiner 攻撃プロセス

Las.exe の分析<br />実行後、ポートスキャンツール、NSA エクスプロイト攻撃ツール、ペイロードプログラムを C: にリリースします。
\windows\IIS ディレクトリ。次に、ポートスキャンツールを使用して、LAN 内のポート 445 が開いているマシンをスキャンし、NSA ツールを使用して、MS17-010 の脆弱性がまだ修正されていない LAN 内のマシンにペイロード (x86.dll または x64.dll) を挿入します。

サンプルリリースファイル

445 ポートスキャンバッチファイル

EternalBlue 設定ファイル

Doublepulsar 設定ファイル

ペイロード分析
ペイロード (x86.dll または x64.dll) は、C2 アドレス ca.fq520000.com から 123.exe をダウンロードし、sys.exe という名前でローカルで実行します。

ペイロードの動作

sys.exe 分析
sys.exe は sm.fq520000.com:443:/1 をダウンロードし、las.exe というファイル名で実行します。

sys.exe の動作

同時に、sm.fq520000.com:443:/A.TXT から URL アドレスを取得し、このアドレスを使用して RAT (リモートアクセスコントロールトロイの木馬) をダウンロードし、ファイル名 84.exe (現在は 1.exe、4～9.exe がダウンロード可能) で実行します。

A. TXTコンテンツ

CPUInfo.exe 分析
CPUInfo.exe は、Windows システムプログラム Srvany.exe を使用して起動し、攻撃プロセスとマイニングプロセスを開始するメインプログラムとして機能します。

WhiteはSrvany.exeを使用して起動します

svsohst.exe 分析
svsohst.ex は、Monero マイニングプログラム crss.exe を起動する役割を担います。マイニングマシンを起動する前に、マイニングプールのアドレス ad0.fq520000.com とウォレットを設定します。

44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS がマイニングパラメータとして使用され、その後 ShellExecute を通じてマイニングプロセスが開始されます。

採掘パラメータを設定する

ShellExecuteはマイニングマシンを起動します

crss.exe 分析
crss.exe は、オープンソースのマイニングプログラム XMRig 2.8.1 を使用してコンパイルされたマイニングプログラムです。

マイニングマシンコード

84.exe 分析

ファイルは C:\Windows\System32\seser.exe に自身をコピーし、隠し属性を設定して、起動時に起動できるようにサービス dazsks gmeakjwxo としてインストールします。

RATインストールサービスが自動的に開始されます

次に、DLL ファイルが復号化され、実行のためにロードされます。 DLL ファイルは実際には Zegost トロイの木馬です。実行後、キーストローク情報とソフトウェアのインストール情報を収集し、C2 アドレス dns.fq520000.org に送信します。画面制御や実行ファイルのインストールなどの機能も備えています。

ウイルス対策ソフトウェアを検出する

重要な情報を取得する

C2アドレスの復号

C2との通信

メッセージの送受信

データの受信と復号

0x3 相関分析
2017 年 9 月以降に Tencent Yujian が発表した初期の Zombieboy 分析レポート、競合他社が発表した Zombieboy 分析レポート、競合他社が発表した NSASrvanyMiner 分析レポートを時系列にまとめ、さらに攻撃手法、悪意のあるコードの特性、C2 ドメイン名と IP、ポートの特性などの一貫性から、最近発見され公開された Zombieboy トロイの木馬による攻撃は同じグループによるものであるという結論に達しました。

ゾンビボーイのトロイの木馬活動

0x3.1 攻撃方法の比較
いくつかの攻撃では、ハッカーツール Zombieboy を使用して NSA 攻撃プログラムが変更されました。攻撃が成功すると、ペイロードファイル X86/X64.dll が実行され、ペイロードファイルの PDB 情報に「Zombieboy」機能が含まれていました。

同時に、ペイロードコードは C2 アドレスから 123.exe をダウンロードし、sys.exe というファイル名でローカルで実行し、sys.exe をローダープログラムとして使用して悪意のあるコンポーネントをダウンロードします。トロイの木馬が標的のマシンに侵入すると、攻撃を広めるだけでなく、マイニングや RAT のインストールなどの悪意のある動作も行います。

ゾンビボーイトロイの木馬PDB

ペイロードコードの比較

0x3.2 C2ドメイン名の比較
0x3.2.1 第2レベルドメイン名の特性
C2 ドメイン名は、セカンダリドメイン名のプレフィックスとして dns、ca、sm、ms、note、stop などの文字を使用して命名されます。

C2 ドメインリスト

また、2018.02.27から2018.05.21までに登録された第1レベルのC2ドメイン名は、posthash.orgやhashpost.org、hashnice.orgやnicehash（第2レベルのドメイン名のプレフィックスとして使用）など、構造に「AB、BA」の特徴があります。
0x3.2.2 ドメイン名解決 IP アドレス
2018.02.27 以降に登録された C2 ドメイン名はすべて 59.125.179.217/211.23.160.235 に解決されています。
IP の場所は、台湾、新北市板橋区と表示されます。これらのドメイン名が同時に同じ IP アドレスを指しているという事実は、それらに特定の接続があることを示しています。

逆ドメイン名

0x3.2.3 HFS ポートの特性<br />トロイの木馬のダウンロードに使用される HFS サービスはすべてポート 344/443 を使用します。 HFS サービスのポートは、作成者が自由に指定できます。これらの攻撃で同じまたは類似のポートが使用されているのは、同じ作成者の使用習慣が継続している可能性があります。
親トロイの木馬のダウンロード URL:

コール.ppxxmr.org:344/123.exe
ca.posthash.org:443/123.exe
ca.hashpost.org:443/123.exe
ca.hashnice.org:443/123.exe
ca.fq520000.com:443/123.exe

0x4 概要
このグループの攻撃手法、拡散する悪意のあるプログラムの種類、攻撃中に使用された IP、ドメイン名、ポートなどの情報の一貫性に基づき、2017 年 9 月以降に Zombieboy を使用して開始された複数回の攻撃は、同じグループによるものであると確信しています。

NSA 攻撃後、ギャングはペイロード配信アドレスとして C2 アドレスを継続的に更新します。また、登録されたセカンダリ C2 ドメイン名を使用して、独自のマイニングプールを構築し、Monero をマイニングします。同時に、侵入先のマシンに RAT トロイの木馬を埋め込み、ユーザーの機密情報を収集してトロイの木馬サーバーにアップロードします。

上記の特徴に基づいて、Tencent Yujian Threat Intelligence Center はこのギャングを ZombieboyMiner マイニングギャングと名付けました。

ZombieboyMiner マイニングと RAT 情報

0x5 セキュリティに関する推奨事項
1. サーバーはポート 139 やポート 445 などの不要なポートを閉じます。
2. 「EternalBlue」脆弱性パッチを手動でインストールするには、次のページにアクセスしてください。
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

WinXPおよびWindows Server 2003ユーザーの方は、
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
3. 企業ユーザーは、ネットワーク全体に Yudian 端末セキュリティ管理システム (https://s.tencent.com/product/yd/index.html) をインストールすることをお勧めします。 Yudian端末セキュリティ管理システムは、端末ウイルス対策の統合制御、脆弱性修復の統合制御、ポリシー制御など、包括的なセキュリティ管理機能を備えています。これにより、企業の管理者は、企業のイントラネットのセキュリティ状態を完全に理解して管理し、企業のセキュリティを保護することができます。

4. 個人ユーザーは、このようなウイルス攻撃を阻止するために Tencent PC Manager を使用することをお勧めします。

IOC（一部）

電話番号:

211.23.160.235
61.216.5.103
59.124.90.231
211.23.47.186
50.63.202.58
59.125.179.217
59.124.20.39

ドメイン:

コール.ppxxmr.org
cc.ppxxmr.org
翻訳:
fr.ppxxmr.org
dns.ppxxmr.org
停止します
sm.ppxxmr.org
ca.ppxxmr.org
sm.posthash.org より
停止します
注記:
ca.posthash.org より
このサイトについて
出典:
注記1.posthash.org
dns.posthash.org より
rc.posthash.org より
gx.posthash.org より
note1.hashpost.org
sm.hashpost.org
注釈:
bf.hashpost.org
ca.hashpost.org
gx.hashpost.org
ハッシュポスト
このサイトについて
dns.hashpost.org
5. ハッシュポスト
ハッシュナイス
ハッシュナイス
ナイスハッシュ
gx.hashnice.org より
bf.hashnice.org より
sm.hashnice.org より
ハッシュナイス
dns.hashnice.org より
ca.hashnice.org より
注釈1
当サイトについて
gxx.fq520000.com
ad0.fq520000.com
ca.fq520000.com
ad2.fq520000.com
sm.fq520000.com
ms.fq520000.com
ad1.fq520000.com
tm.fq520000.com
dns.fq520000.com
dns.fq520000.org

MD5 :

60e12b9a39352d08bf069e2a97107ab0
a649ac8c7ec727488ef0d9def63be08b
118207ee176d8f457ff6900d0b787f58
309d97944338014443fb32490d7915bd
13af51ab2ce2e952c00a0ec668853d96
cf9e8e0b325b4c92887b1880eef09301
cb1e7e96cbaf88d787941fd077d8a95a
ed9d9121e71caa3c5622d168fc08fce7
d91fea937e6b45f2fae0ac3b08f963dc
e7ff22ca98abb20985970a824554573b
40ee69298c8b30e2a6e7d374074ea288
f9b393e672fac10314a3be7c54cdd133
735123203319136186d560f415b680e3
8b91142fed443c5003933643c2658d27
22f40fbedca7dbc11c59fab086677c8a
c23f115942306bb864090ae9296f0261
844379ece6f2e474c37154f87ccebfe8
440127ca1f6ec17c2e075a090d5fc372
807299345aedeba522c1039310ffc040
a245f6378e73d110bbf7f91c61194c89
060a95feb61fc1ce382f55ed4ab290f1
e92579c7b4a0611a13a96c91757eef62
a4b7b1390ca6d1d06a73468ff75b8ce9
d709a06941305b3841be9f261a5b7bd3
14729b1e5d035b74e21b358b2f0c807a
9dc13238b547456c2e834ac4b27a46d2
8effdbe3af3a1b122826933a37c9600d
6df1343cdf5aa088013415d7183c3a67
167f2d2bce1e332073c7ea259573f5f6
c72c5ed0dc0cff5ba371d9fc53c24e92
翻訳元
9564b8901fab74183589faeaa21f36bd
77239af9f7a80ff39d7495208f644追加
3f30a7e8fd541db28bdf7fbfa3679511
84ba2fdc78e39d5cc8c48ce7e7f35edc
5d198bc36c92c17c2e9e6b9867fe8847
8afd9008665a8dcb9ba40718cfaf3b91
cbd91d483bc5d87b16938163e75ef67f
afbc1cf8c923eaba4f502a63e4032d06
c2ea69dfe33287e4aea88263cb26e3f1
b8e00a3df697e8a6b3fa5f9112398086
f42a3d28aa92fd13a57e509eae8f533c
翻訳:
f8551c8e432e8489ed29854abcdf734b
bb3737ab5fd70411c6ee6dce6cb2befe
e4e94f68d656333a596063af025cdc0b
f2da6781a11d490fdb388d4e017b54dd
b7df8964c6ccd2bdfd41f9ab88ca5ed5
842133ddc2d57fd0f78491b7ba39a34d
88d3e78635e0cbe0a2a9019a5c3cba58
07bee8068b3f528f5d46d7aaa1c945f9
343552e5075cfbf050435674d37ed636
2b909a339c385946f5a1e561e08ddda3
08a1e02e8e633c71f28ea35a457516a4
80d2274c1de9fcbc0df245fffd266530
79292189FB211042653601CC8E32AEA2
8c4f2a6d4f76038c67d9b12f3642d935
9a21d78f7fa9092cd1b809c152d92355
f55002267322498dc398b25059f4b64b
baf28e2e302d2834d7fba152d592b096
6a78576677e915d11bda114884dc7485
446320319eea2652c2af4321037def6c
8a1ba57a692c17830e03da141485835b
44343c1b5f0be42098b95d333c5d42d0
9a21d78f7fa9092cd1b809c152d92355
d0cebe62c0ddafa20ebe005fc9cbf4eb
dda5e64470c92911a6a382d48059d31a
3cdbe851346a13b04e32e93bc63ca9cf
79292189fb211042653601cc8e32aea2