Smominruボットネット:1日あたり4,700台のPCが感染

2019年10月10日

2017年から活動しているSmominruが、最も急速に拡散しつつあるマルウェアの1つとなった—公開レポート(英語サイト)では、このように報告されています。2019年8月だけを見ても、全世界で9万台のマシンが感染しており、感染スピードは1日あたり4,700台に上ります。特に攻撃が多く観測されたのは中国、台湾、ロシア、ブラジル、米国ですが、他の国や地域が攻撃の対象外というわけではありません。たとえば、Smominruが標的とした最大のネットワークはイタリアにあり、65台のホストが感染しています。

Smominruボットネットの拡散の仕組み

攻撃に関与する犯罪者たちはさほど標的をえり好みしないと見え、攻撃対象は大学から医療機関まで多岐にわたります。しかし、感染の約85%はWindows 7とWindows Server 2008のシステムで発生しています。このほか、Windows Server 2012、Windows XP、Windows Server 2003などに感染が見られます。

影響を受けたマシンの約4分の1は、Smominruが駆除された後に再び感染しました。つまり、一部の被害者はシステムの感染を除去したものの、根本的な原因を見落としているということです。

では、根本原因とは何なのでしょうか?Smominruが用いる拡散の手法はいくつかありますが、主なものは2つです。1つは各種Windowsサービスの破られやすい認証情報を総当たり攻撃する方法、もう1つは悪名高いEternalBlueエクスプロイトを利用する方法で、よく使われるのは後者の方です。

EternalBlueエクスプロイトは、WannaCryNotPetyaの大規模感染の原因となった脆弱性を突くものです。Microsoftは2017年当時、この脆弱性を修正するパッチを公開し、サポートが終了したOSもパッチ提供の対象としましたが、このアップデートに対応していない企業も多くあります。

Smominruボットネットの活動

システムに侵入したSmominruは、「admin$」という新規ユーザーを作成し、そのシステムの管理者権限を持たせて、悪意あるペイロードを大量にダウンロード開始します。特に顕著な動きは、感染したコンピューターをひそかに利用して暗号資産(仮想通貨)のMoneroをマイニングすることです。

しかし、感染の目的はそれだけにとどまりません。Smominruはスパイ活動、データの抜き取り、認証情報の窃取に使用するモジュールセットもダウンロードします。さらに、いったん足場を固めるとネットワーク内で感染拡大を図り、できるだけ多くのシステムに感染しようと試みます。

このボットネットは対抗意識が非常に強く、感染したコンピューター内で発見した他のマルウェアをすべて排除するという興味深い特徴を持ちます。標的のデバイスで実行中のその他悪意ある活動を無効化して妨げるだけでなく、ライバルによるさらなる感染も阻止するのです。

攻撃インフラ

Smominruボットネットは20台以上の専用サーバーに頼っており、その大半は米国にありますが、マレーシアやブルガリアにホストされているサーバーもあります。Smominruの攻撃インフラはかなり広範囲に分散し、複雑で、非常に柔軟な運用が可能であるため、簡単には閉鎖できそうにありません。このボットネットの活動は、かなり長期間続くことになりそうです。

ネットワーク、コンピューター、そしてデータをSmominruから保護するには、以下の対策をお勧めします。

  • OSやその他のソフトウェアを定期的に更新する。
  • 強力なパスワードを使う。パスワードを強化することで総当たり攻撃への耐性を高めます。
  • 信頼性の高いセキュリティ製品を使用する。