サイバーセキュリティ企業のAvastは、中国から運用されているとみられるWindowsマルウェアのボットネットが2021年に入って爆発的に増加し、2020年には1万台だった感染が、2021年前半には10万台以上にまで拡大していると発表しました。
「DirtyMoe」、「PurpleFox」、「Perkiler」、「NuggetPhantom」など、さまざまな名前で知られるこのマルウェアは、2017年後半から登場しており、その主な目的はWindowsシステムに感染し、ユーザーにわからないように密かに暗号通貨を採掘することでした。さらに2018年にはDDoS攻撃を仕掛ける機能も発見されています。
作成者は主にメールスパムを利用して、PurpleFoxというエクスプロイトキットをホストする悪意のあるサイトにユーザーを誘い込んでおり、Internet Explorerにあるブラウザの脆弱性を利用して、パッチが適用されていないWindowsシステムにルートキットコンポーネントをインストールし、マルウェアが感染したホストを完全に制御できるようにして、それを暗号マイニングに利用していました。
このルートキットは「DirtyMoe」、「PurpleFox」、「Perkiler」、「NuggetPhantom」など、さまざまな名前で知られており、サイバーセキュリティ業界では知られていましたが、興味深い限定的な脅威としか見なされていませんでした。
Avastが共有している数字によると、DirtyMoeボットネットは2017年から2020年までの期間において、年間ベースで平均数百から数千の感染が確認されていました。
2021年の終わり頃、DirtyMoeのグループがアップデートを行い、マルウェアをインターネット経由で他のWindowsシステムに拡散させることができるワームモジュールを追加しました。
このモジュールはインターネットをスキャンし、SMBポートをオンラインで開いたままにしているリモートのWindowsコンピューターに対してパスワードブルートフォース攻撃を実行するものです。
このSMB拡散モジュールにより、このマルウェアの感染数は爆発的に増加し、2021年だけで10万台以上のシステムに感染しているとされています。
しかし、この数字はAvastのアンチウイルスがインストールされているコンピュータ数がベースになっているため、DirtyMoeボットネットの本当の規模ははるかに大きいと考えられます。
その証拠として中国のTencent社のレポートによると、2021年6月の初めに、2021年の間に中国でDirtyMoe/PrurpleFoxの感染が急増していることが確認されており、Avastがヨーロッパ、アジア、アメリカで報告した同様の感染数の爆発的増加を反映しています。
Tencent Security Threat Intelligence Centerの検知データによると、感染は拡大しており、国内の被害者サーバーは主に北京、江蘇、浙江、広東に広がっています。
テンセントのセキュリティ専門家は、政府や企業のユーザーに対し、パープルフォックスウイルスの影響を排除するための対策を講じること、ワームのような攻撃を避けるためにSQLサーバーの弱いパスワードの使用をやめること、ゲームのプラグインや補助ツール、ソフトウェアのクラックパッチなどのアプリケーションをダウンロードして使用することを避け、これらのツールに隠れているPurpleFoxウイルスのインストールを防ぐことを推奨しています。
Comments