威脅

雖然加密貨幣挖礦本身並不違法，但 ASEC 強調，未經許可安裝挖礦程序，尤其是當它降低系統效能時，是非法活動。被發現的 CoinMiner 惡意軟體表現出多種刻意被設計來確保持久性、最大化利潤和逃避檢測的特徵。截至 2025 年 2 月 6 日，Threat actor利用受感染系統的 CPU 和 GPU 資源每天創造超過 100 萬韓元的收入。

感染流程

該惡意軟體的運作流程涉及幾個階段：

1. 透過捷徑檔案執行：當使用者無意中執行惡意捷徑檔案（可能存在於受感染的 USB 隨身碟上）時，攻擊就開始了。
2. 服務註冊和執行：下載器元件將自身註冊為服務並執行。
3. 系統設定修改：惡意軟體修改系統設定以優化挖礦效能並逃避安全解決方案。這包括向 Windows Defender 新增例外、停用虛擬機器管理程式保護程式碼完整性-Hypervisor Protected Code Integrity(HVCI) 以及更改電源管理設定。
4. C＆C 通訊：惡意軟體使用 PostgreSQL 資料庫與其命令和控制 (C＆C) 伺服器通訊。此通訊管道允許攻擊者遠端控制惡意軟體並收集挖掘的加密貨幣。
5. CoinMiner 下載和執行：實際的 CoinMiner 程式在受感染的系統上下載並執行。報告指出，所使用的特定礦工是 XMRig。
6. USB 傳播：惡意軟體透過受感染的 USB 隨身碟傳播到其他系統，確保持續傳播。

關鍵技術

CoinMiner 惡意軟體採用了多種技術來逃避偵測並保持持久性：

• DLL Sideloading：此技術用於透過使用合法程式載入惡意 DLL 來繞過安全解決方案。
• Windows Defender 逃避：此惡意軟體修改 Windows Defender 設定以將自身排除在掃描之外。
• 停用休眠：停用休眠有助於最佳化挖掘效能。
• 與 PostgreSQL 的 C＆C 通訊：使用 PostgreSQL 資料庫進行 C＆C 通訊有助於掩蓋惡意活動。

攻擊指標 (IOC)

ASEC 報告提供了一份 IOC 列表，以協助識別可能受感染的系統：

• MD5 雜湊值：提供了與惡意軟體相關的 MD5 雜湊值清單：0b9a4d59dacfe88f2046c8128275cf24、0c0195c48b6b8582fa6f6373032118da、101b001582 89e865f83bce578b8aff8512、1c138d300c371dac1241f67a5cc496a1。
• URL：提供了用於分發惡意軟體的 URL 清單：http[:]//rootunvdwl[.]com/un1/uhard[.]dat、http[:]//rootunvdwl[.]com/un1/unvurestorehard[.]dat、http[:]//unvdwl[.]com/d1/chard [.]/d.1/l.SL.]com/d.1H.]com/d. .]dat、https[:]//github[.]com/unvcosmos/dw/raw/refs/heads/main/cmn/uamd[.]dat。

預防

ASEC 建議用戶保持安全軟體更新，以防止此類攻擊。為了進一步增強本文，存取 AhnLab TIP 的完整報告將會很有益，因為它包含遠端資料庫位址、帳戶憑證以及與 PostgreSQL DB 伺服器交換的詳細資料。

總結

CoinMiner 惡意軟體正在韓國透過 USB 裝置積極傳播，它利用受感染系統的資源進行未經授權的加密貨幣挖掘，這構成了重大威脅。此惡意軟體修改系統設定以優化挖掘效能並逃避安全解決方案，為威脅行為者帶來豐厚的利潤。它透過 USB 隨身碟傳播，能夠迅速蔓延至大量未指定的受害者。用戶必須保持最新的安全程序以防止感染。該惡意軟體採用了 DLL Sideloading、Windows Defender 規避以及使用 PostgreSQL 資料庫進行 C＆C 通訊等技術來避免被偵測到。包括 MD5 雜湊和 URL 在內的危害指標可以幫助識別受感染的系統。

參考資料