MySQL Servers, Docker Hosts Infected With DDoS Malware
2023/11/14 SecurityWeek — MySQL サーバと Docker ホストをターゲットにする脅威アクターが、分散型サービス拒否 (DDoS) 攻撃をするマルウェアを仕込んでいると、AhnLab Security Emergency Response Center の研究者たちが警告している。AhnLab によると、Windows 上の MySQL を標的とする攻撃が、脆弱な MySQL サーバ が Ddostf に感染することで頻度を増しているという。Ddostf は、遅くとも 2016年から存在する、中国起源の DDoS 対応ボットネットである。
インターネット上でアクセス可能な MySQL サーバを、TCP ポート 3306 を介してスキャンする攻撃者が、認証情報もしくは脆弱性の悪用による侵害を試みていると、AnnLab は指摘している。
侵害に成功した攻撃者は、悪意の DLL を UDF (User-Defined Function) ライブラリとしてアップロードし、感染させたシステム上でコマンドを実行することで、Ddostf マルウェアを展開/実行する。
Linux/Windows 環境をターゲットとする Ddostf は、永続性を達成した後に、システム情報を収集し、Command and Control (C2) サーバと通信を開始する。その後にコマンドを待機し、SYN/UDP/HTTP GET/POST フラッドなどの DDoS 攻撃を開始する。
AhnLab は、「Ddostf がサポートするコマンドの大半は、典型的な DDoS ボットのケースと類似している。ただし、Ddostf の特徴として挙げられるのは、C2 サーバから新たに受信したアドレスに接続し、一定の期間においてコマンドを実行する機能だ」と説明している。
このマルウェアは DDoS 攻撃に特化して設計され、また、この脅威グループはDDoSfor-hire サービスを運営していると、研究者たちは考えている。
OracleIV DDoS 対応マルウェア
これとは別に、Cado Security は新しい報告書で、Docker Engine の HTTP API を介して Docker ホストを標的とする、DDoS 対応マルウェア OracleIV の動向について警告している。
この攻撃者は、ELF (Executable and Linking Format) ファイルとしてコンパイルされた Python マルウェアをホストする、悪意のコンテナをデプロイするために、パブリックに公開された Docker Engine API のインスタンスをスキャンしている。
Cado Security は、「偶然に公開された Docker Engine API インスタンスは、最近の攻撃者にとって人気のターゲットであり、暗号通貨マイナーのデプロイにおいて多用されている。いったん有効なエンドポイントが発見されると、そこから悪意のあるイメージを引き出すことでコンテナを起動し、あらゆる目的を実行するのは簡単だ。Docker のコンテナ・イメージ・ライブラリである Dockerhub で、悪意のコンテナをホストすることで、このプロセスがさらに効率化される」と述べている。
Cado Security は、攻撃者が HTTP POST リクエストで Dockerhub から悪意のあるイメージを取得し、そこからコンテナを生成していることを確認したと述べている。同社によると、悪意の Docker イメージは3,000件以上あり、定期的に更新されているようだという。
MySQL に、Ddostf という DDoS マルウェアがホストされているとのことです。また、先日の「Docker API のミス・コンフィグレーション:悪意の Docker コンテナ展開で悪用」と被ってしまいましたが、Docker には OracleIV がいます。ほんと、DDoS ボットネットとの戦いは、イタチごっこですね。よろしければ、カテゴリ DDoS も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.