Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?

Mirai malware now delivered using Spring4Shell exploits

2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。

このゼロデイ脆弱性が発見された数日後に、Spring は緊急アップデートをリリースし、問題を修正したが、すでに脅威アクターによる脆弱性の悪用は始まっていた。Microsoft と CheckPoint は、Spring4Shell を利用した数多くの攻撃を検出したが、この脆弱性を含む大規模なインシデントの報告はなく、その影響力は疑問視されていた。そのため、Trend Micro が発見した Mirai ボットネットの亜種が、この脆弱性 CVE-2022-22965 の悪用を推進していることが懸念されている。

シンガポールに集中する攻撃

数日前から観測されている活発な悪用は、シンガポールの脆弱な Web サーバーを狙うものであり、世界規模を目指す脅威アクターが活動を拡大する前の、予備的なテスト段階だという可能性がある。

Spring4Shell の悪用とは、特別に細工されたリクエストを介して、Web サーバーの Webroot に JSP Web シェルを書き込み、それを使ってサーバー上でリモート・コマンドを実行できるようにするものだ。この場合、脅威アクターはリモート・アクセスを利用して、Miraiを「/tmp」フォルダにダウンロードして実行する。

Request and commands used in this attack
Request and commands used in this attack (Trend Micro)


脅威アクターは、さまざまな CPU アーキテクチャに対応する複数の Mirai サンプルを取得し、それらを wget.sh スクリプトで実行する。

Script fetching the various Mirai samples
Script fetching various Mirai samples (Trend Micro)


対象となるアーキテクチャと互換性が得られずに、正常に実行されなかったものは、最初の実行段階を経て、ディスクから削除される。

Log4Shell から Spring4Shell へ

各種の Mirai ボットネットは、先月までは Log4Shell (CVE-2021-44228) の脆弱性を持続的に悪用する数少ない存在であり、広く利用されている Log4j ソフトウェアの欠陥を利用して、脆弱なデバイスを DDoS ボットネットにリクルートしていた。

現在、このボットネットの運営者は、新たなデバイス・プールを獲得するために、潜在的に大きな影響を与える Spring4Shell のような欠陥の実験に、乗り出している可能性があるのだ。

この種の攻撃が、ランサムウェア展開やデータ漏洩につながる可能性を考えると、サービス拒否やクリプトマイニングのための Mirai リソース・ハイジャックのケースは、比較的無害であるように見える。

それぞれのシステムへのパッチ適用が進み、脆弱性のあるデプロイメント数が減少すると、パッチ未適用のサーバーに悪意のネットワーク・スキャンに集中し、そこで悪用が試みられるようになる。

管理者たちは、可能な限り早急に、Spring Framework 5.3.18/5.2.20 へのアップグレードを行い、さらには Spring Boot 2.5.12 以降へのアップグレードを行い、最も危険な脅威グループが悪用の活動に加わる前に、こうした攻撃へのドアを閉じる必要がある。

Mirai に関する直近の記事としては、2021年12月12日の「Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike」が、興味深い分析を提供しています。また、Spring4Shell に関しては、2022年4月5日の「SpringShell 問題を抱える組織と脅威アクターたち:すでに6社に1社がターゲットに」や、「Microsoft が Spring4Shell 攻撃を検出:広範囲のクラウドで少量の悪用の施行」が、この脆弱性つついて、知るべきことを説明しています。絡みあってほしくない、マルウェアと脆弱性ですね。

%d bloggers like this: