NSABuffMinerマイニングトロイの木馬がキャンパスサーバーを占拠し、115万元の不法利益を獲得

9月は黄金の月であり、新たな学年の始まりです。全国の大学、短期大学、小中学校は「新学期ラッシュ」を迎えている。学生たちが続々とキャンパスに戻るなか、犯罪者たちは落ち着きを失い始めており、「新学期経済」を狙い、違法な手段を使って巨額の利益を得ようとしている。最近、テンセントスマートセキュリティ玉江脅威インテリジェンスセンターは、学校のイントラネット水カード管理サーバーが頻繁にクラッシュするというユーザーからのフィードバックを受け取りました。学校のネットワーク管理担当者がシステムをチェックしたところ、異常な問題は見つかりませんでした。当初、イントラネットが違法なハッカーによる攻撃を受けたと疑われたため、テンセント・スマート・セキュリティ・ユジアン・スレット・インテリジェンス・センターに支援を要請した。

テンセントのセキュリティ技術専門家は、学校のイントラネットの水道カード管理サーバーが、NSASrvanyMinerマイニングトロイの木馬の亜種でNSAの武器やツールを使ってイントラネット内で攻撃と拡散を行うrundllhost.exeマイニングトロイの木馬に侵入されたことを発見した。サーバーにはパッチが適用されていない ms17-010 の脆弱性があったため、攻撃され、マイニングに悪用されました。ウォレット情報を調べたところ、現時点でNSABuffMinerマイニングトロイの木馬が1,217枚のモネロコインをマイニングしており、不法利益は115万元に達していることが判明した。

(写真: NSABuffMiner マイニングトロイの木馬が違法な利益を上げる)

現在、テンセントスマートセキュリティ玉江脅威インテリジェンスセンターは、マイニング型トロイの木馬を全面的に阻止して駆除し、企業ユーザーに対して、リスクの高い脆弱性を適時に修復するよう注意喚起しています。違法なハッカーがこれらのシステムの抜け穴を悪用すると、マイニング型トロイの木馬を埋め込むだけでなく、ユーザーのコンピューターにランサムウェアウイルスが埋め込まれ、データを盗むツールとなり、より深刻な結果を引き起こす可能性があります。

Tencent のセキュリティ技術専門家によると、NSASrvanyMiner マイニングトロイの木馬の新しい亜種が攻撃を開始すると、まずファイアウォールをシャットダウンし、CPUInfo.exe を起動してイントラネットマシンのポート 445 をスキャンします。ポートが開いている場合、複数の NSA の武器とツールを使用してユーザーのコンピュータを攻撃します。同時に、マイニングトロイの木馬は NSSM サービス管理ツールを使用してマイニングマシンを起動し、マイニングマシンをシステムサービスとしてインストールします。このツールには、対象のサービス プロセスを自動的に保護する機能があり、マイニング プロセスの動作を維持し、一部のウイルス対策ソフトウェアによる検出を回避できます。

注目すべきは、マイニングリソースの独占を確保するために、マイニングトロイの木馬は「黒が黒を食べる」や「川を渡って橋を破壊する」などの方法を使用して他のマイニングトロイの木馬の侵入を阻止し、同じくマイニングトロイの木馬である30以上のプロセスをチェックして強制終了し、自身の侵入が成功した後は、135、137、138、139、445などの危険なポートを積極的に閉じて、他のマイニングトロイの木馬がマイニングリソースをめぐって自分と競争するのを防ぐことです。

さらに、NSABuffMiner マイニングトロイの木馬の新しい亜種には、強力な NSA 脆弱性攻撃パッケージが搭載されており、イントラネット内での攻撃と拡散を容易にします。同時に、マイニングトロイの木馬は複数のタスクマネージャーのプロセスも検出します。ユーザーがシステムの異常を発見し、タスク マネージャーでシステム リソースの使用状況を確認できるようにすると、トロイの木馬はすぐにタスク マネージャーを閉じようとします。終了に失敗すると、トロイの木馬は直ちに終了し、一般ユーザーを混乱させます。

（写真：テンセントセキュリティエンタープライズ製品玉電）

このような違法なハッカー攻撃が再び発生するのを防ぐために、テンセント・コンピュータ・マネージャーのセキュリティ専門家であり、テンセント・セキュリティ・アンチウイルス・ラボの責任者である馬金松氏は、企業のネットワーク管理者に、サーバーにセキュリティパッチを速やかに適用し、不要なファイル共有、ポート、サービスを閉じるように努め、強度の高い固有のサーバーアカウントとパスワードを使用し、定期的に変更し続けることを推奨しています。また、端末のウイルス対策や脆弱性修復の統一的な管理と制御、ポリシー管理などの包括的なセキュリティ管理機能を提供できる Yudian 端末セキュリティ管理システムなどのセキュリティ ソフトウェアをインストールすることをお勧めします。これにより、企業の管理者は企業のイントラネットのセキュリティ状態を完全に把握して管理し、企業のセキュリティを保護できます。