TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

仮想通貨を“掘り起こす”マルウェア「Adylkuzz」

f:id:tanigawa:20170520085043j:plain
出典: http://www.security-next.com/081834


【概要】

  • マルウェアの動作
    • 侵入先のコンピュータに「sppsrv.exe」のサービスとしてインストー
    • 他のマルウェアの感染を阻止する目的でポート445/TCPの通信をブロック
  • 感染拡大の方法
    • Eternal Blueを使用
  • マイニング
    • 暗号通貨 Monero のマイニング
    • 侵入先のマシンに、cpuminer という既知の暗号通貨マイニングプログラム(マイナー)をインストー


【ニュース】

◆新たな大規模サイバー攻撃、水面下で進行 WannaCry超える規模 (AFP BB NEWS, 2017/05/18 05:34)
http://www.afpbb.com/articles/-/3128596?act=all

◆新たなサイバー攻撃、仮想通貨を「勝手に」採掘 (WSJ, 2017/05/18 15:01)
http://jp.wsj.com/articles/SB10911804914205233901704583152463164048462

NSA流出の攻撃手法を使う仮想通貨マルウェア--日本の感染先で採掘か (ZDNet, 2017/05/18 15:59)
https://japan.zdnet.com/article/35101358/

◆仮想通貨であるMoneroコインを“掘り起こす”マルウェア「Adylkuzz」(ASCII.jp, 2017/05/19 19:00)
http://ascii.jp/elem/000/001/485/1485539/

NSA由来の「EternalBlue」、悪用は「WannaCrypt」より「Adylkuzz」が先 - 狙いは仮想通貨 (Security NEXT, 2017/05/19)
http://www.security-next.com/081834


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017