Proxyjacking and Cryptomining Campaign Targets GitLab
2023/08/18 InfoSecurity — LABRAT と呼ばれる、金銭的な動機に基づく新たなオペレーションが、Sysdig のセキュリティ研究者たちにより発見された。このキャンペーンの目的は、クリプト・マイニングとプロキシ・ジャッキングで利益を得ることであり、様々なテクニックを使って身を潜めるように設計されている。プロキシ・ジャッキングとは、攻撃手法の1つであり、攻撃者が被害者のシステムを侵害して、不正な操作などを行うものだ。LABRAT のオペレーターは、既知の GitLab のリモート・コード実行の脆弱性 CVE-2021-22205 を悪用して、標的のコンテナを侵害していた。
LABRAT のオペレーターは、この収益源を維持するために、研究者たちやネットワーク管理者から極限まで身を隠そうとしていると、Sysdig は主張している。
同社は、「攻撃者がマルウェアとしてスクリプトを利用するのはよくあることだ。しかし、この攻撃者は、Go と .NET で書かれた、検出されないコンパイル済みバイナリを使用している。さらに彼ら、正規のサービスである TryCloudFlare を悪用して、C2 ネットワークを難読化させていた」と詳述している。
また、検出を回避するために、攻撃者はバイナリを常に更新していると Sysdig は述べている。
LABRAT 攻撃者は、持続性を維持するために、Global Socket (GSocket) として知られる合法的なオープンソース・ツールを使用している。
Sysdig は、「GSocket には、Netcat と同様に正当な使い道があるが、攻撃にも利用できる。GSocket は、Netcatとは異なり、カスタム・リレー/プロキシ・ネットワーク/暗号化/TOR などの機能を提供しており、ステルス C2 通信のための非常に有能なツールとなっている。LABRAT 攻撃者は、インストールの証拠を消すために、このプロセスを隠そうとした」と説明している。
このキャンペーンは進行中であり、使用されているバックドアが侵害されたシステムへのアクセスを提供していることを考えると、プロキシ・ジャッキングやクリプト・マイニングを超えるように設計されている可能性さえあると、Sysdig の研究チームは指摘している。
なんらかの脆弱性を悪用して、侵入に成功した後に、正規のソフトウェアを悪用して侵害を続けていく手口は、最も検出されにくいものとなるでしょう。この種の問題に関する記事としては、2023/08/03 の「LOLBAS という難題:Microsoft Office がステルス性マルウェア・ローダーになり得る」が、なかなか興味深いです。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.