Dogecoinの ユースケースは時間の経過とともに進化したようです。 ミームコインは、2014年にジョークとして最初に作成され、2015年に最もホットな暗号通貨のXNUMXつになり、 エロン・マスクのお気に入り 2018年、そしての一部でした TikTokチャレンジ 2020インチ
しかし、物事は通貨にとって暗い方向に進んでいます。 セキュリティ会社のIntezer Labsは、ハッカーは現在、トークンを利用して暗号マイニングボットネットを制御していると述べています。 レポート 今週。
そのような犬、多くのハック
ニューヨークを拠点とするマルウェア分析および検出会社であるIntezer Labsは、悪名高い「Doki」バックドアを使用するハッカーがDogecoinウォレットを使用してオンラインでの存在を隠していることを発見しました。
同社はトロイの木馬ウイルスであるDokiを2020年XNUMX月から分析していたと語ったが、最近、暗号化マイニングマルウェアのインストールとメンテナンスでの使用が発見されました。
脆弱性に積極的に感染している未検出のDoki攻撃 #ドッカー クラウド内のサーバー。 攻撃者は、DogeCoinデジタルウォレットに基づく新しいドメイン生成アルゴリズム(DGA)を使用して、C&Cドメインを生成します。 による研究 ゆうたろう & @カジロット https://t.co/CS1aK5DXjv
— Intezer(@IntezerLabs) 2022年7月11日
同社によれば、ハッカー(Ngrokの傍にいる)は、Dogecoinウォレットを使用してWebサーバーに侵入する方法を発見しました。 使用法は、そうでなければおかしな目的で知られているミームコインの最初のケースです。
Intezer Labsは、ドキが以前は文書化されていなかった方法を使用して、Dogecoinブロックチェーンをorderは、その制御およびコマンド(C&C)ドメインアドレスを動的に生成します。
ドージコイントランザクションを使用すると、攻撃者は、Ngrokを実行している影響を受けるコンピューターまたはサーバー上のこれらのC&Cアドレスを変更できました。 Monero マイニングボット。 これにより、ハッカーはオンラインの場所を隠すことができ、法的機関やサイバー犯罪当局による検出を防ぐことができます。
Intezer Labsは、そのレポートで説明しています。
「一部のマルウェア株は、ソースコードに含まれる生のIPアドレスまたはハードコードされたURLに接続しますが、Dokiは動的アルゴリズムを使用して、Dogecoin APIを使用して制御およびコマンド(C&C)アドレスを決定しました。」
同社はこれらのステップを追加して、セキュリティ会社がハッカーのDogecoinウォレットにアクセスしてDokiを解体する必要があることを意味しましたが、ウォレットの秘密鍵を知らないと「不可能」でした。
DOGEを使用してサーバーを制御する
Dokiを使用することで、Ngrokは、暗号マイニング操作を実行するために、新しくデプロイされたAlpineLinuxサーバーを制御できるようになりました。 彼らはDokiサービスを使用して、新しい指示のために接続するために必要な制御およびコマンド(C&C)サーバーのURLを決定および変更しました。
Intezerの研究者は、プロセスをリバースエンジニアリングして、下の画像に示すように初期ステップを詳しく説明しました。
上記が完全に実行されたとき、Ngrokギャングは、彼らが制御するDogecoinウォレット内から単一のトランザクションを実行することにより、Dokiのコマンドサーバーを変更できました。
ただし、これはより大きな攻撃の一部にすぎません。 Ngrokの一団がコマンドサーバーにアクセスできるようになると、Moneroをマイニングするために別のボットネットを展開しました。 DogecoinとDokiはアクセスブリッジとしてのみ機能しました。 ZDNetの 研究者カタリン・シンパヌはツイートした:
とにかく、Dokiは独自のC&C DGAを使用していますが、実際にはより大きな攻撃チェーンの一部です。つまり、Ngrok暗号マイニングクルーです。
これらのハッカーは、正しく設定されていないDocker APIをターゲットにしています。これらのAPIを使用して、Moneroをマイニングするために新しいAlpine Linuxイメージをデプロイします(Dokiはここにアクセスする部分です) pic.twitter.com/xh20MqS9od
— Catalin Cimpanu(@campuscodi) 2022年7月11日
インテザー氏によると、ドキは今年60月から活動しているが、Linuxサーバーで使用されているXNUMXの「VirusTotal」スキャンソフトウェアすべてで検出されずにいる。
本日現在、攻撃は今日でもまだアクティブです。 Intezer氏は、マルウェアのオペレーターと「暗号採掘ギャング」がこの方法を積極的に使用していると語った。
しかし、それは大きな心配ではありません。 ウイルスへの暴露を防ぐのは簡単だと同社は言う。 重要なアプリケーションプロセスインターフェイス(API)が完全にオフラインであり、インターネットと対話するアプリケーションに接続されていないことを確認する必要があるだけです。
あなたが見るもののように? 毎日更新を購読してください。
出典:https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/