セキュリティ企業Impervaの研究者らによると、仮想通貨を採掘する「クリプトジャッキング」の新たなスキームが確認されたという。これは米国家安全保障局(NSA)から流出した「EternalBlue」エクスプロイトを用い、脆弱性を抱えた「Windows」サーバを感染させるというものだ。
同研究者らは、この新たなスキームが、今までのどちらかと言えばシンプルだったクリプトジャッキングの試みと比べると、はるかに洗練されたものだと警告している。
「RedisWannaMine」と名付けられたこの新たな攻撃は、仮想通貨の採掘を行うためにサーバを標的にするものであり、「攻撃の感染率を増加させ、(攻撃者の)金銭的利益を増大させるために、ワームのような振る舞いと先進的なエクスプロイトが組み合わされている」という。
このマルウェアは標的とするサーバを見つけ出した後、「Apache Struts」の「CVE-2017-9805」脆弱性を突くようになっている。CVE-2017-9805は、Apache StrutsのXStreamハンドラを用いるRESTプラグインに影響を与える脆弱性だ。
同脆弱性が悪用された場合、アプリケーションサーバ上での遠隔地からのコード実行を認証無しに行えるようになる。
同脆弱性は、仮想通貨採掘マルウェアのダウンロードを行うシェルコマンドを発行するために用いられている。
しかし、ここで使用されているダウンローダは、crontabに新たなサーバエントリを書き込んで永続性を獲得したうえで、認証済みの鍵を保存する領域の新たなSSH鍵のエントリと、システムのiptablesの新たなエントリによって、被害者のマシンに対するリモートアクセスを確立するという点で通常のものよりも洗練されている。
また、それと同時にLinuxの標準パッケージマネージャを用いて他のパッケージもダウンロードされる。なお「masscan」という、GitHubで公開されているTCPポートのスキャンツールもペイロードの中に含まれている。
攻撃スクリプトはその後、redisscanという名称のプロセスを起動する。このプロセスはmasscanを利用し、脆弱性を抱えるRedisサーバを探し出し、感染しようとする。次にebscanという、masscanを別の用途で使用するプロセスを立ち上げる。このプロセスにおいてmasscanは、EternalBlueエクスプロイトに対する脆弱性を抱えている公開「Windows」サーバを探し出し、感染するために用いられる。EternalBlueは「WannaCry」ランサムウェアキャンペーンを実行する際に利用されたエクスプロイトだ。
この攻撃によってサーバに侵入できた場合、同攻撃スクリプトは「admissioninit.exe」というペイロードを投下する。これは仮想通貨採掘スクリプトであり、仮想通貨の採掘を行い、攻撃者の支配下にあるウォレットに資金を移動するようになっている。
Impervaは攻撃の範囲や悪用された可能性のある脆弱なシステムの数については明らかにしていないが、IT管理者がこのような良く知られているエクスプロイトに対するパッチを適用していなければ、サイバー攻撃者はこのセキュリティの問題を悪用し、私腹を肥やすことになるということが、この攻撃で浮き彫りになった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
