ハッカーがドージコイン(Dogecoin)を利用してマルウエアを直接マイニング！

ハッカーがドージコインを使ってマイニング！？

ドージコイン(Dogecoin/DOGE)に対する世界的な関心は、TikTokやイーロン・マスク(Elon Musk)氏だけに留まりませんでした。
これまでは仮想通貨を盛り上げる中億が立て続いていましたが、今回はハッカーが仮想通貨を利用してマイニングマルウエアを制御し始めました。

インターネットセキュリティ会社のIntezer Labsによると、ドージコインは、ハッカーがLinuxオペレーティングシステム上のMoneroマイニングマルウェアを制御するために使用されていると報告しています。


Intezer LabsがDokiと呼ばれる比較的新しいバックドア型トロイの木馬ウイルスを分析した際、古い攻撃者がそれを使用して、パブリックウエブサーバー上のマルウエアを直接マイニングしていることに気が付いたと報告。
しかし、同社は、Ngrokを介してハッカーがウエブサーバーに侵入するためにドージコインウォレットを使用する新しい方法を発見していることを発見し、ドージコインでそのような使われ方をしている初のケースだった事を明かしています。
Dokiはこれまでに文書化されていなかった方法を使い、C2ドメインアドレスを動的に生成するため、独自の方法でドージコイン仮想通貨ブロックチェーンを悪用することでオペレーターに連絡しているとIntezer Labsは報告書で述べています。


攻撃者は、この攻撃のためにC2(Command & Control：コマンド&コントロール)サーバーを標的にし、標的となるネットワーク内の侵害されたシステムを整理および制御するために使用され、スマートフォンやPC、およびその他のインターネット接続デバイスを含めることができます。
攻撃者は、ドージコイントランザクションを使用し、Moneroマイニングボットを実行している公開されたコンピューターのC2アドレスを変更することができました。
これによって、オンラインロケーションを継続的に変更できるようになり、法執行機関に捕まることなく攻撃を実行できるようになりました。

Intezerはなぜこの方法を利用するのか

Intezerによると、これらのステップは、セキュリティ会社がハッカーのドージコインウォレットにアクセスし、Dokiそのものを解体する必要があったことを意味しており、ウォレットの秘密鍵を知らないと解体自体が不可能だったと説明しています。


現在までのところ、解体はうまくいっているようで、Intezerによると、Dokiは2020年1月から活動しているが、Linuxサーバーで使用されている60の「VirusTotal」スキャンソフトウエアすべてで検出されずにいます。
攻撃は現在もアクティブの状況が続いており、Intezer Labsは、過去数カ月間Dockerサーバーはマルウエアオペレーター、特に仮想通貨マイニングギャングからますます標的にされていると指摘しています。

Ngrokボットネットへの露出を防ぐ方法は、重要なアプリケーションプロセスインターフェイスがインターネットに接続されていないことを確認することです。
ドージコインに関しては、TikTokでバイラルになることから、Elon Muskによって承認されることまで現在ではハッカーにとって重要なツールになっています。