Apache Tomcat の脆弱性 CVE-2025-24813 への攻撃:ハッカーたちの高度な戦術を解明する

Hackers Exploit Apache Tomcat Flaw to Hijack Servers and Steal SSH Credentials

2025/04/03 gbhackers — 新たに発見された攻撃キャンmasuペーンにより露呈した、Apache Tomcat サーバの脆弱性 CVE-2025-24813 を悪用するハッカーたちは、リソースの乗っ取りと SSH 認証情報の窃取を可能にしている。この問題の発見から 30 時間以内にボットネットを武器化した一連の攻撃は、暗号化されたペイロードと高度な永続化メカニズムを用いるものであり、Windows/Linux プラットフォームで稼働するシステムに侵入したことを、Aqua Nautilus の研究者たちが明らかにした。

攻撃者たちは、Python スクリプトを使用して、Tomcat 管理コンソールの脆弱な認証情報にブルートフォース攻撃を仕掛けるところから、このキャンペーンを開始している。そこでアクセスを獲得した攻撃者は、バックドアの確立と権限昇格のために設計された、悪意の JavaServer Pages (JSP) ファイルをアップロードする。

これらのスクリプトは、AES 暗号化を利用してペイロードをデコードし、新しいクラスを動的にロードすることで、任意の Java コードを実行できるようにするものだ。

この攻撃で使用されるマルウェアは、システム・リソースを悪用して暗号通貨マイニング操作を行う際に、カーネル・プロセスを偽装して検出を回避していく。

Apache Tomcat Flaw
 Attack Flow of the Tomcat campaign 2025
マルウェアの機能と拡散

この攻撃インフラは、2つの主要な Web シェルを展開する。1つはバックドアを作成するものであり、もう1つは権限昇格と永続化のためのものだ。

最初のスクリプトは、暗号化されたリクエストをデコードして任意のコードを実行し、2番目のスクリプトは Windows システムの実行型ファイルや、Linux 環境のシェル・スクリプトなどの、追加のペイロードをダウンロードする。

これらのスクリプトは、侵害したマシンから SSH キーを抽出し、ネットワークを横断するためにも用いられる。

これらのマルウェアは検出を困難にするために、アンチデバッグ技術/メモリマッピングに加えて、”[cpuhp/0]” や “[kworker/R-rcu_p]” などの偽カーネル・プロセス名で、プロセスのクローンを作成する。

その後に、”gulf.moneroocean.stream” などの暗号通貨マイニング・プールに接続し、複数のディレクトリに自身をコピーして永続性を維持しながら、バックグラウンドで暗号通貨をマイニングする。

Indicators of Compromise (IOC)

AquaSec の研究者たちは、このキャンペーンに関連する、いくつかの侵害の兆候を特定している:

  • IP Addresses:攻撃者は、ペイロードの配信に “209.141.37.95” や “138.201.247.154” などの IP を使用している。
  • Domains:ドメイン “dbliker.top” は、偽の 404 エラー ページの背後に偽装された、悪意のあるスクリプトをホストしている。
  • Files:攻撃の実行に際しては、悪意の JSP ファイル (例: test.jsp/tomcat.jsp) と、パックされた ELF バイナリが使用されている。
Apache Tomcat Flaw
 The website returns a fake 404 missing page error while the payload is hidden inside the html

このような攻撃に対して防御する組織は、Tomcat サーバなどのインターネットに接続されたアプリケーションの、脆弱性 CVE-2025-24813 などへのパッチ適用を優先する必要がある。

追加の対策としては、以下のものがある:

  • 未使用のサービスと管理インターフェースを無効化し、露出を減らす。
  • Role-Based Access Control (RBAC) を用いて厳格な権限管理を実装する。
  • ネットワーク・セグメンテーションとファイアウォールを使用して、重要なサーバを分離し、暗号通貨マイニング・プールへのアウトバウンド接続をブロックする。
  • マルウェアの動作と暗号通貨マイニングを、リアルタイムで検出するためのランタイム保護ツールを導入する。

このキャンペーンが浮き彫りにするのは、Apache Tomcat サーバに依存するワークロードを、新たな脅威から保護することの緊急性である。

ハッカーたちは、前例のない速度で脆弱性を悪用している。したがってユーザー組織は、パッチ管理/権限制限/ランタイム・セキュリティ・ソリューションなどのプロアクティブな対策を採用し、クラウド・ネイティブ環境を狙う高度な攻撃からシステムを保護すべきである。

先月からお伝えしている Apache Tomcat の脆弱性 CVE-2025-24813 を悪用した攻撃について、新たに侵害の兆候 (IoC:Indicators of Compromise) が公開されました。攻撃手法が急速に進化する中で、これらの情報はセキュリティ担当者にとって非常に重要な手がかりとなります。ご利用のチームは、十分にご注意ください。なお、本脆弱性に関するこれまでの記事は、以下にまとめています。よろしければ、Apache Tomcat で検索と併せて、ご参照ください。

2025/04/02:脆弱性 CVE-2025-24813 が CISA KEV に登録
2025/03/31:脆弱性 CVE-2025-24813:積極的な悪用と PoC 提供
2025/03/21:脆弱性 CVE-2025-24813:検出された悪用と問題点
2025/03/17:脆弱性 CVE-2025-24813:戦術変更への備え
2025/03/10:Apache Tomcat の脆弱性 CVE-2025-24813 が FIX