はじめに
サイバー犯罪者たちは、USBドライブを感染経路として悪用し続けており、最近のキャンペーンでは、高度なCoinMinerマルウェアが配布され、侵害されたワークステーション上で持続的な仮想通貨マイニング活動が確立されていることが確認されています。
セキュリティ研究者は、検出を回避しながら感染システム上でMonero仮想通貨をマイニングする、ソーシャルエンジニアリングと回避技術を活用した進化する脅威を文書化しています。
2025年2月には、AhnLab Security Intelligence Center (ASEC) が報告書「USB経由で拡散するCoinMinerの事例」で、韓国におけるCoinMinerマルウェアのUSB経由での拡散を確認。同年7月にはMandiantも同様の攻撃シリーズに関する報告書を発表し、インストールされたマルウェアをDIRTYBULKおよびCUTFAILに分類しました。
攻撃手法の進化
全体的な攻撃手法は大きく変わっていませんが、最近の攻撃で使用されているマルウェアの種類は以前のものとは異なり、検出を回避し、持続性を維持するために設計された、より洗練された感染チェーンが明らかになっています。
感染経路の詳細
感染したUSBは、ユーザーに欺瞞的なファイル構造を提示します。USBドライブには、「USB Drive.lnk」というショートカットファイルと、隠しフォルダである「sysvolume」および「USB Drive」が表示されます。
ユーザーが目に見えるショートカットをダブルクリックすると、隠されたsysvolumeフォルダ内にある「u」で始まるランダムな6桁のファイル名(例:「u566387.vbs」)のVBSマルウェアが実行されます。
このVBSマルウェアは、同一の命名規則を持つBATスクリプトをトリガーし、2つの重要な機能を実施します。まず、元のUSBコンテンツを含む「USB Drive」フォルダを開くことで、被害者は通常通りファイルにアクセスでき、感染を隠蔽します。次に、Windowsディレクトリ内に末尾にスペースを含むフォルダ(例:「C:\Windows \System32」)を作成し、ドロッパーマルウェア「u211553.dat」をそこにコピーして「printui.dll」に名前を変更します。その後、正規のWindows「printui.exe」ファイルがこのディレクトリにコピーされ、DLLサイドローディング技術を介して悪意のあるDLLがロードされて実行されます。
感染チェーンは、最終的なペイロードをデプロイするために複数のドロッパー段階を採用しています。初期のprintui.dllドロッパーは、システムディレクトリに「svcinsty64.exe」を作成して実行します。これはさらに、「%SystemDirectory%\wsvcz」フォルダに設定ファイル「wlogz.dat」と共に「svctrl64.exe」を作成します。最終的なドロッパー段階では、「u826437.dll」を作成し、Windows DcomLaunchサービスに登録して、持続性を確立し、システム起動時に確実に実行されるようにします。
持続性と検出回避
DcomLaunchサービスによって実行されるマルウェアはPrintMinerと命名されています。
実行されると、PrintMinerはインストールディレクトリをWindows Defenderの除外リストに追加し、システムがスリープモードに入らないように電源設定を変更して、継続的なマイニング操作を確実にします。
マルウェアは、r2.hashpoolpx[.]netにあるコマンド&コントロール(C&C)サーバーに接続し、CPUやGPUの仕様を含むシステム情報を送信した後、XMRig仮想通貨マイナーを含む追加の暗号化されたペイロードをダウンロードします。
「%SystemDirectory%\wsvcz\wlogz.dat」にある設定ファイルには、C&CサーバーのIPアドレス、マイニングプールの情報、インストールされたマルウェアのパスなど、重要な運用データが保存されています。
PrintMinerは、USB拡散とXMRig実行管理のために専用のスレッドを作成します。
回避とステルス技術
脅威アクターは、検出を回避するために洗練された回避メカニズムを実装しています。
XMRig実行スレッドは、実行中のプロセスを継続的に監視し、特定のアプリケーションが実行されていない場合にのみマイナーをアクティブ化します。
マルウェアは、ユーザーがシステムパフォーマンスを調査しようとした際にマイニング活動を隠蔽するために、Process Explorer、TaskMgr、System Informer、Process Hackerなどのプロセス検査ツールをチェックします。
さらに、多数のゲームクライアントプロセスを監視し、ゲーミングセッション中はマイニング操作を停止することで、ユーザーに感染を警告する可能性のあるパフォーマンス低下を回避します。
XMRigマイナーは、CPU使用率を50パーセントに制限し、r2.hashpoolpx[.]net:443のマイニングプールへのTLS接続を利用するように設定されており、セキュリティアラートをトリガーする可能性のあるネットワークトラフィックパターンを減らすためにDNS TTLが3600秒に設定されています。
対策
このキャンペーンは、エンドポイントセキュリティの進歩にもかかわらず、USBベースのマルウェア配布が依然として実行可能な攻撃ベクトルであることを示しています。
autorun.inf機能を悪用していた過去の攻撃とは異なり、現代のUSBマルウェアは、悪意のあるショートカットを実行させるためにソーシャルエンジニアリングに依存しています。
組織は、USBデバイス制御を実装し、USBセキュリティリスクについてユーザーを教育し、不審なDLLサイドローディングやサービス変更活動を特定できるエンドポイント検出ソリューションを展開すべきです。
不正な仮想通貨マイニングプロセスや既知のマイニングプールのネットワーク接続を定期的に監視することは、アクティブな感染を検出するのに役立ちます。