Impervaは7月18日(米国時間)、「Drupal, Phishing and A New Cryptomining Botnet|Blog|Imperva」において、新たな仮想通貨マイニングボットネットについて説明した。
同社はパターンによる異常検出技術を用いて新たな仮想通貨マイニングボットネットを発見したとしており、どのような仕組みでボットネットが構築されたのか、その活動傾向からどのようなことが推測できるのかといった内容がまとまっている。
発見された最初のスクリプトはa.shという名称で、これはbashで開発されたダウンローダであり、ここから圧縮されたアーカイブファイルをダウンロードする。取得されたアーカイバには21個のファイル(テキスト、スクリプト、実行ファイル、静的ライブラリ、Pythonスクリプトなど)が含まれており、その中からiという名前の64ビットELF実行ファイルが実行される仕組みになっているいう。
この実行ファイルは発見された時点ではどのウイルス対策ソフトウェアでも検出されず、ここからマルウェア感染と仮想通貨マイニングへ向けた動作が起こったとされている。感染には既存の脆弱性(Drupalgedon)とフィッシングメールが使われていた。
記事では、ボットネット構築開始から運用中の動向などの分析についても触れているが、こうした攻撃がボットネットそのものではなく人間によって引き起こされている可能性を示す興味深いデータを挙げている。
特に6月8日から22日まで実施された攻撃活動を取り上げ、この活動が6月15日から18日までの3日間はまったく行われていないことに言及。2018 FIFAワールドカップの開始時期とかぶることから攻撃者がサッカーファンではないかと指摘している。