Water Sigbin Threat Actor Targets Oracle WebLogic Servers to Deploy XMRig Cryptominer
2024/06/30 SecurityOnline — Oracle WebLogic サーバを標的とし、XMRig 暗号通貨マイナーを展開する Water Sigbin という脅威アクター (別名 8220 Gang) による巧妙なキャンペーンが、Trend Micro の研究者たちにより発見された。このグループが主として狙っているのは、暗号マイニング・マルウェアの展開であり、Oracle WebLogic Server の脆弱性 CVE-2017-3506/CVE-2023-21839 などを悪用して、多段攻撃を開始していることが判明している。
研究者たちが発見したのは、リバース・エンジニアリングを妨げるように設計された、コード保護ソフトウェア .NET Reactor を悪用する Water Sigbin が、マルウェアを巧妙に難読化する多段階の攻撃チェーンである。この攻撃の初期段階では、Oracle WebLogic Server の脆弱性を悪用して PowerShell スクリプトを展開し、第1段階のローダーをデコードして実行する。このローダーは、正規の WireGuard VPN アプリケーションに偽装されたものだが、復号化された後に、第2段階のペイロードをメモリにロードする。
この攻撃は、反射型 DLL インジェクションという。ファイルレス実行の技術により進行し、マルウェアを完全にメモリ内で動作させることで、従来のディスク・ベースの検出メカニズムを回避する。そして、第2段階のローダーが、別のペイロードを取得して解読し、最終的に PureCrypter ローダー V6.0.7D の実行へといたる。この洗練されたローダーは、感染チェーンの最終段階として機能し、攻撃者の Command and Control (C2) サーバとの通信を確立し、XMRig 暗号通貨マイナーをダウンロードする。
オープンソースのマイナーである XMRig は、侵害済みのシステム上に解き放たれ、その計算リソースを利用して、脅威アクターのために Monero 暗号通貨を生成する。さらに Water Sigbin は、持続性を維持するために、スケジュールされたタスクの作成/Windows Defender への除外の追加/隠しディレクトリへの複製といった、さまざまな手法を採用している。
また、Trend Micro の分析では、このマルウェアが収集するものには、ユーザー名/ウイルス対策ソフトウェア/CPU などのシステム情報も含まれ、それらが攻撃者のサーバへ向けて流出していることも判明している。これらの情報は、さらなる悪意の活動に使用されることがあり、また、アンダーグラウンド・マーケットで販売される可能性もある。
ユーザー組織は、以下のベスト・プラクティスを実施することで、このような巧妙な攻撃からシステムやネットワークを保護することが可能だ:
- 定期的なアップデートとパッチ適用:オペレーティング・システム/アプリケーション/ファームウェアも対して、最新のセキュリティ・パッチを適用して脆弱性を緩和する。
- 強固なアクセス・コントロール: ユーザーとアプリケーションによる、それぞれのタスクへのアクセスを、必要最小限に絞り込む。多要素認証 (MFA) などの、強力な認証方法を導入する。
- 定期的なセキュリティ評価: 潜在的な脅威を特定し、対処するために、脆弱性スキャンを頻繁に実施し、徹底的なセキュリティ評価を行う。
- セキュリティ意識向上トレーニング: セキュリティのベストプラクティスと最新の脅威ベクターについて、従業員を継続的に教育する。
Oracle WebLogic の古い脆弱性を悪用するというインシデントが、このところ目につきます。2024/06/03 の「CISA KEV 警告 24/06/03:Oracle WebLogic Server の脆弱性 CVE-2020-17519 を追加」では、別の古い脆弱性の悪用が指摘されていました。よろしければ、Oracle WebLogic で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.