ソフト開発会社がマルウェア開発か - ソフォスが指摘

ソフォスは、暗号資産（仮想通貨）をマイニングするマルウェア「MrbMiner」が、イランに拠点を置く小規模なソフトウェア開発会社によって作成されたものであるとの見方を示した。

「MrbMiner」は、2020年9月にTencentが報告したマイニングマルウェア。ファイル情報の特徴的な文字から命名された。ブルートフォース攻撃で「Microsoft SQL Server」をターゲットに感染活動を展開することで知られている。

ダウンローダーが外部ウェブサーバよりzipによるアーカイブされたマイナーをダウンロード。コマンド＆コントロールサーバと接続してプログラムを実行する。

ソフォスは、マイニングを行うペイロードや構成ファイルにおいて、イランを拠点とするソフトウェア企業の名称が一部にハードコードされていることを発見したという。さらにプログラムの構成、ドメイン、IPアドレスなど、同社と関連を示唆する多くの情報があり、今回の攻撃における発生源であるとの見方を示した。

同社は、同マルウェアについてメモリの搭載量が多いなど、リソースが潤沢に割り当てられることも多いデータベースサーバを標的にしていると指摘。暗号通貨の採掘を狙う攻撃は過小に評価されることも多いが、システムが侵害されると、ランサムウェアをはじめ、別の脅威にさらされる可能性もあるため、早期に感染の兆候を把握する必要があると指摘している。

（Security NEXT - 2021/02/05 ） ツイート

PR

関連記事

警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
「LockBit」にあらたなリークサイト - ブランド回復に躍起
国際作戦で「LockBit」の一部関係者を逮捕 - 復号鍵など押収
国際連携でボットネット「QakBot」が解体 - 展開済みマルウェアに注意を
攻撃キャンペーン「Dangerous Password」の最新手口を分析
ランサムウェア「ESXiArgs」対応でCISAとFBIが共同ガイダンス
QNAP、NASのファームウェア更新を呼びかけ - あらたなランサム攻撃を調査中
米政府、北朝鮮関連グループの攻撃に注意喚起 - 標的は暗号通貨やNFT関連
偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
「Emotet」で10億円以上荒稼ぎか - インフラ維持に5000万円