オペレーション・プロウリは4万台以上のマシンを操作して暗号通貨のマイニングを行った

最近の発表によると、GuardiCore セキュリティ チームは悪意のあるトラフィック操作グループと暗号通貨のマイニング活動を発見しました。このキャンペーンにより、金融、教育、政府などさまざまな業界の 40,000 台以上のマシンが感染しました。

「Operation Prowli」と名付けられたこの攻撃では、エクスプロイトや仮想通貨の総当たり攻撃などの手法を使ってマルウェアを拡散し、ウェブサーバー、モデム、モノのインターネットなどのデバイスを乗っ取った。 GuardiCore は、Operation Opportunity の背後にいる攻撃者の最大の目的は多額の資金を獲得することだったことを突き止めました。

報告書によると、侵害されたデバイスは、Moneroマイナーとr2r2ワームに感染していた。r2r2ワームは、侵害されたデバイスからSSHブルートフォース攻撃を実行し、「機会主義的な操作」によって新たな被害者に影響を与えるマルウェアである。つまり、r2r2 はランダムに生成された IP アドレスのブロックを通じて、ユーザーの暗号化された秘密鍵を使用して SSH ログインをブルートフォース攻撃で試み、侵入すると被害者に対して一連のコマンドを実行します。 「すべての攻撃は同じ方法で実行され、同じサーバーと通信してr2r2と呼ばれる攻撃ツールと暗号通貨マイナーをダウンロードした」とGuardiCoreは記している。

さらに、サイバー犯罪者は「WSO Web Shell」と呼ばれるオープンソースの URL を使用して侵害された Web サイトを改変し、Web サイト訪問者をトラフィック分散システムにリダイレクトし、そこからさまざまな他の悪意のあるサイトにリダイレクトしました。偽の Web サイトにリダイレクトされると、ユーザーは悪意のあるブラウザ拡張機能をクリックする被害者になります。 GuardiCore チームは、Operation Opportunity が 9,000 社以上の企業に侵入したと報告しました。

先月、新たなクリプトジャッキングマルウェアが50万台のコンピューターを使用して、3日間で1億3,300万のモネロコインをマイニングしました。サイバーセキュリティ企業360が発見し注目した「WinstarNssmMiner」と呼ばれるこのマルウェアは、暗号通貨を採掘しながら感染したマシンを破壊する能力があるため、ユーザーのウイルス対策に新たな課題をもたらしている。