New Linux Malware Campaign Exploits Oracle Weblogic to Mine Cryptocurrency
2024/09/13 TheHackerNews — Linux 環境を標的にして、不正な暗号通貨マイニングを実行する、新たなマルウェア・キャンペーンが発見された。クラウドセキュリティ企業 Aqua によると、特に Oracle Weblogic サーバを標的とするアクティビティは、Hadooken と呼ばれるマルウェアを配信するようだ。Aqua のセキュリティ研究者である Assaf Moran は、「Hadooken が実行されると、Tsunami マルウェアがドロップされ、暗号マイナーが展開される」と説明している。
この攻撃チェーンが獲得する最初の足がかりは、既知のセキュリティ脆弱性や、認証情報に関連するミスコンフィグの悪用であり、その後に、影響を受けやすいインスタンス上で任意のコードを実行する。
ほぼ同一の、2つペイロードを起動することで、この攻撃チェーンは実現される。ペイロードの1つは Python で書かれており、もう1つはシェルスクリプトである。そして、どちらもリモート・サーバ (89.185.85[.]102/185.174.136[.]204」) から、 Hadooken マルウェアを取得するように設計されている。
Assaf Moran は、「シェルスクリプト版は、SSH データ (ユーザー認証情報/ホスト情報/秘密情報など) を取り込んでいる各種のディレクトリを、繰り返して探索した後に、この情報を悪用して既知のサーバを攻撃する。そして、組織内の環境や接続された環境内を横移動し、さらに Hadooken マルウェアを拡散させる」と述べている。
Hadooken に組み込まれている2つのコンポーネントは、暗号通貨マイナーと、Tsunami (別名 Kaiten) と呼ばれる DDoS ボットネットである。過去において Tsunami は、Kubernetes クラスタに展開された Jenkins/Weblogic サービスを標的にしていた。
さらに、このマルウェアは、暗号通貨マイナーを不定期に実行する cron ジョブを作成する一方で、ホスト上での永続性を確立する。
Aqua が指摘しているのは、IP アドレス 89.185.85[.]102 が、ドイツのホスティング会社 Aeza International LTD (AS210644) に登録されている点だ。Uptycs の 2024年2月の報告によると、Apache Log4jと Atlassian Confluence Server/Data Center の脆弱性を悪用する、8220 Gang の暗号通貨キャンペーンに関連しているようだ。
2番目の IP アドレス 185.174.136[.]204 は、現在は非アクティブであるが、Aeza Group Ltd. (AS216246) にも関連していた。Qurium と EU DisinfoLab が 2024年7月に報告している通り、Moscow M9 とフランクフルトの2つのデータセンターに存在する Aeza は、防弾ホスティング・サービス・プロバイダーである。
Qurium の研究者たちは、「サイバー犯罪に対して、保護を提供しているロシアの防弾ホスティング・プロバイダーは、若い開発者を採用している。そのことからも、Aeza の手法と急速な成長が窺える」と述べている。
Oracle Weblogic を悪用する、暗号通貨マイナー・キャンペーンが展開されていますが、C2 サーバの IP が判明しているようです。ご利用のチームは、ご注意ください。似たような話としては、2024/06/30 の「Oracle WebLogic の古い脆弱性を悪用:暗号マイナーを展開する Water Sigbin とは?」があります。よろしければ、Oracle Weblogic で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.