StaryDobry 攻撃: ゲーム愛好家を狙う脅威
Table of Contents
ゲーマーを狙った詐欺計画
StaryDobry 攻撃は、シミュレーションや物理ベースのビデオゲームの人気を利用して、隠された暗号通貨マイナーをシステムに侵入する大規模なキャンペーンです。2024 年 12 月 31 日に検出されたこの攻撃は 1 か月にわたり、ロシア、ブラジル、ドイツ、ベラルーシ、カザフスタンなど複数の国のユーザーに影響を与えました。
この攻撃の背後にいるサイバー犯罪者は、トレントプラットフォーム上で侵害されたインストールファイルを配布することで、無料のゲームダウンロードを求める個人をだましました。感染したファイルは、 BeamNG.drive 、Garry's Mod、 Dyson Sphere Program 、 Universe Sandbox 、 Plutocracyなどの人気ゲームの正規のコピーを装い、何も知らないユーザーを誘い込んで悪意のあるソフトウェアをインストールさせます。
高性能システムの活用
StaryDobry 攻撃の主な目的は、感染した Windows マシンに暗号通貨マイニング プログラムを展開することでした。選択されたマイナーであるXMRigは、匿名性を重視するためサイバー犯罪者に好まれる暗号通貨である Monero マイニングにシステム リソースを活用する能力があることで広く知られています。
ゲーム愛好家をターゲットにしたのは戦略的な動きでした。ゲーム用 PC は通常、長時間のマイニング操作に耐えられる強力なプロセッサを備えているからです。効率を最大化するために、マイナーは少なくとも 8 つの CPU コアを持つマシンでのみアクティブ化され、性能の低いデバイスでは検出されずに、最適なパフォーマンスが確保されます。
多層攻撃戦略
感染プロセスは、Inno Setup を使用して作成された改ざんされたゲーム インストーラーから始まりました。これらのインストーラーは、2024 年 9 月という早い時期にトレント プラットフォームにアップロードされており、幅広いユーザーに到達するように設計された計画的なキャンペーンであることが示唆されています。
ユーザーがインストーラーを起動すると、 unrar.dllというドロッパー ファイルがひそかに抽出され、実行されます。このファイルは検出を回避する高度な技術を採用しており、続行する前にデバッグ環境またはサンドボックス環境で動作しているかどうかをチェックします。
セキュリティチェックをバイパスすると、マルウェアはユーザーの IP アドレスを取得し、外部サービスを通じて地理的な位置を推定しました。この手順が失敗すると、システムの場所は自動的に中国またはベラルーシに設定されましたが、このフォールバックの理由は不明です。
深層システムへの侵入と回避技術
予備情報を収集した後、攻撃は別の実行ファイルMTX64.exeを復号化することで進行しました。このコンポーネントは、 Windows.Graphics.ThumbnailHandler.dllという名前でシステムに書き込まれ、Windows Shell Extension 機能と統合されていました。
この時点で、実行の追加レイヤーが導入されました。Kickstarterという2 番目のペイロードが暗号化されたファイルを抽出し、システムのローミング認証情報フォルダー内のUnix.Directory.IconHandler.dllに保存しました。このファイルは、最終段階のペイロードであるマイナー インプラント自体を配信するリモート コマンド サーバーとの通信を容易にしました。
マルウェアは永続性を確保し、検出を回避するために、システム プロセスを継続的に監視し、タスク マネージャー ( taskmgr.exe ) またはプロセス監視ツール ( procmon.exe ) が検出されると自動的に終了します。これらの回避技術により、セキュリティ ソフトウェアが操作にフラグを立てる可能性が大幅に減少しました。
カスタマイズされた採掘作業
攻撃者は、パブリック マイニング プールに接続するのではなく、独自のマイニング インフラストラクチャをホストすることを選択しました。このアプローチにより、攻撃者は操作をより強力に制御し、違法なマイニング活動に関連する金融取引を隠蔽することができました。
起動すると、マイナーは事前定義されたコマンドを実行して暗号通貨のマイニングを開始し、コンピューティング リソースを Monero の生成に向けます。不必要な露出を防ぐため、セキュリティ分析ツールが検出されると動作を停止する組み込みの監視機能が含まれています。
攻撃の影響
StaryDobry キャンペーンは、非公式のソースからソフトウェアをダウンロードすることに伴うリスクを強調しています。被害者にとっての直接的な影響はコンピューティング リソースの不正使用ですが、マイニング活動が長期化すると、システム パフォーマンスが低下し、エネルギー消費が増加し、ハードウェアの寿命が短くなる可能性があります。
企業にとって、無許可のマイニング ソフトウェアが存在すると、生産性が低下し、電気代が上昇し、攻撃者がマイニング活動以外にも活動を拡大した場合にネットワークがさらなる脅威にさらされる可能性があります。
帰属と未解決の質問
StaryDobry 攻撃の背後にいる人物の身元は不明のままです。マルウェア サンプル内にロシア語の使用の証拠が見つかりましたが、この攻撃と既知のサイバー犯罪グループとの明確なつながりは確立されていません。
この事件は、脅威の主体が欺瞞や回避のテクニックを駆使して世界中のシステムを侵害し、その手法を改良し続けていることを思い起こさせます。一見無害なゲームのダウンロードを通じてデバイスに侵入する能力は、デジタル脅威の進化を浮き彫りにし、ユーザーと組織の両方におけるサイバーセキュリティ意識の重要性を改めて強調しています。
