New Cryptojacking Campaign Leverages Misconfigured Redis Database Servers
2023/03/02 TheHackerNews — Redis データベース・サーバのミスコンフィグレーションが、新しいクリプトジャッキング・キャンペーンのターゲットとなっているが、そこで悪用されているのは、正規のオープンソース・コマンドライン・ファイル転送サービスである。Cado Security は、「このキャンペーンを支えていたのは、transfer[.]sh である。つまり、数多くのサービスなどで普通に使われる、pastebin[.]com などのコード・ホスティング・ドメインをベースにした、検出を回避する試みの可能性がある」と、The Hacker News と共有したレポートで述べている。
クラウド・サイバーセキュリティ企業である Cado Security によると、transfer[.]sh はコマンドラインを用いたインタラクションを提供するため、悪意のペイロードをホストして配信するための理想的なツールになるという。
この攻撃は、安全ではない Redis をターゲットとすることから始まり、スケジューラにより任意のコードが実行する cron job を登録することへとつながる。そして、このジョブは、transfer[.]sh でホストされているペイロードを取得するように設計されている。
同様の攻撃メカニズムは、TeamTNT や WatchDog といった脅威アクターたちが、クリプト・ジャッキングのオペレーションで採用しており、注目に値する点である。
このペイロードは、XMRig 暗号通貨マイナーへの道を開くスクリプトだが、通常であれば事前に行うべきである、メモリの解放と、競合するマイナーの終了に加えて、脆弱な Redis サーバーを見つけ出して感染を伝播させるための、pnscan というネットワーク・スキャナーをインストールするという準備段階を経ていない。
同社は、「このキャンペーンの目的は、暗号通貨のマイニングのためのシステム・リソースのハイジャックにあることは明らかだ。しかし、このマルウェア・キャンペーンに感染すると、意図しない影響が生じる可能性がある。たとえば、Linux のメモリ管理システムが不用意に設定されることで、データの破損やシステムの可用性喪失などが、きわめて容易に起こり得る」と述べている。
この数ヶ月の間に発生している Redigo と HeadCrab に続き、今回の活動は、Redis サーバへの攻撃として最新の脅威になった。
中国と米国にあるターゲットに対して、分散型サービス拒否 (DDoS) 攻撃を仕掛けるために、SSH サーバをブルートフォース侵害して、 XorDdos ボットネット・マルウェアを展開するという、新しい一連の攻撃が検知されている。それについて、Avertium が公表したことも、今回の発見に寄与している。
2022年10月6日〜12月7日において、同社は 18個のハニーポットを仕掛け、120万件の不正な SSH 接続の試行を観測したと発表している。同社によると、この活動は、中国に拠点を置く脅威アクターによるものだという。
これらの試みの 42%は、ChinaNet 江蘇省ネットワークに割り当てられた 49件の IP アドレスから発信され、残りは世界中に散在する 8,000 の IP アドレスから発信されていた。
Avertium は、「このスキャンによりオープンポートが特定されると、約 17,000 件のパスワードで構成されるリストが用いられ、root アカウントに対してブルートフォース攻撃が仕掛けられていることが判明した。ブルートフォース攻撃が成功すると、XorDDoS ボットがインストールされた」と述べている。
文中に登場する TeamTNT は、Docker や Kubernetes も攻撃しているようです。ただし、WatchDog の方は、このブログでは初登場です。そして、今回の攻撃を行っている未知の脅威アクターですが、XMRig を潜みこませる際の手順が雑であり、データの破損やシステムの可用性喪失が生じ易いというのも、気になるところです。Redis 侵害については、以下の記事を、ご参照ください。
2022/12/01:Redigo マルウェア:バックドアを仕掛ける
2022/09/21:Redis:39,000 件のサーバが狙われている
2022/03/28:CISA 警告:Redis の脆弱性を悪用リストに追加
IoT OT Security News 
You must be logged in to post a comment.