クリプトマイニングにも利用される「Necro Python」ボット、新たなエクスプロイトで機能強化

今回は「クリプトマイニングにも利用される「Necro Python」ボット、新たなエクスプロイトで機能強化」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Cisco Talosが米国時間6月3日に公開した「Necro Python」に関する報告書によると、このマルウェアはその能力を高めているという。Necro Pythonは2015年から開発されているとみられている。このボットは、「FreakOut」もしくは「Necro」という別名を持ち、Check Point Research（CPR）が2021年1月に、Netlab 360が3月に詳細を報告している。

　Necro Pythonの開発者は、多数の変更を施し、ボットのパワーと汎用性を強化している。ボットには10以上のウェブアプリケーションやSMBプロトコルのエクスプロイトが含まれているという。例えば、「VMWare vSphere」「SCO OpenServer」「Vesta Control Panel」などのエクスプロイトが新たに追加されている。

　また、5月18日に公開されたこのボットネットのバージョンには、「EternalBlue」（CVE-2017-0144）と「EternalRomance」（CVE-2017-0147）のエクスプロイトも含まれる。

　ボットはまず、「Linux」ベースのOSと「Windows」OSでこれらの脆弱性を悪用しようとする。Javaベースのダウンローダーも感染の初期段階で利用される。Pythonインタプリターと悪意のあるスクリプト、「pyinstaller」で作成した実行ファイルも悪用し、侵害したシステムをスレーブマシンとしてボットネットに仕立てようとするようだ。

　その後、Necro Pythonはコマンド＆コントロール（C2）サーバーとの接続を確立してオペレーターとつながり、コマンドを受信して、ネットワークを傍受してデータを盗み出そうとしたり、さらなるマルウェアペイロードを展開したりする。

　コードは、仮想通貨（暗号資産）マイナーの「XMRig」プログラムをダウンロードし、実行するようになっている。侵害したマシンのリソースを不正に使用し、仮想通貨「Monero」を採掘するという。

　研究者らによると、「感染したシステムのHTMLファイルやPHPファイルに、攻撃者が管理するサーバーからコードを挿入して、JavaScriptベースのマイナーをダウンロードして実行する」。そして「ユーザーが感染したアプリケーションを開くと、JavaScriptベースのMoneroマイナーがブラウザーのプロセススペース内で実行される」という。

　ボットは、DDoS（分散型サービス拒否）攻撃、ネットワークのスニッフィングなどを行う機能も備えている。

　また、ユーザーモードのルートキットをインストールし、ユーザーがログインするたびにボットが動き、永続性を維持するが、その存在に気づかれないよう、悪意のあるプロセスやレジストリーエントリーは隠されているという。

　Necro Pythonのもう1つの注目すべきアップデートにポリモーフィックな機能がある。ボットの作成者は、より検出を困難にさせようとしているとみられ、イテレーションごとにスクリプトコードを変更させるポリモーフィックエンジンを追加したという。

　Talosは、「Necro Pythonボットの攻撃者は、さまざまなウェブアプリケーション上で、リモートコマンド実行のエクスプロイトの最新の進展をフォローし、ボットで新しいエクスプロイトを活用している。このため拡大して、システムが感染する可能性が高くなる。ユーザーはOSだけでなく、すべてのアプリケーションに必ず定期的に最新のセキュリティーアップデートを適用する必要がある」と注意を促している。