Cybereasonのサイバーセキュリティ研究者らが米国時間4月22日に明らかにしたところによると、仮想通貨(暗号資産)のマイニングを目的とする「Prometei」ボットネットが「Microsoft Exchange Server」の脆弱性を悪用し、その規模を拡大しているという。しかし、いったんアクセス権限を奪われてしまうと、その権限の大きさ故に、より危険なサイバー攻撃につながる恐れがあるという。
研究者らは、Prometeiボットネットが世界的なキャンペーンで広範囲に及ぶ組織に多段階攻撃を仕掛けているとしている。
このボットネットの背後にいるサイバー犯罪者らは、Exchange Serverに潜む脆弱性を悪用してネットワークに侵入している。この脆弱性に対するセキュリティパッチは既に公開されており、適用すれば攻撃を防ぐことは可能だが、Prometeiはインターネットを走査し、パッチを適用していない組織を探し出してネットワーク侵入への足ががりとするようになっている。
Prometeiは特定の組織を標的としているわけではなく、幅広い対象の中から攻撃対象になり得る脆弱なネットワークを探している。研究者らによると、このボットネットは北米や南米、欧州、東アジアといった地域の複数組織のネットワークを手中に収めているという。
攻撃者らの主な目的は、クリプトジャッキング型マルウェアをインストールし、「Monero」をマイニングすることだ。攻撃者らは感染させたデバイスの処理能力をひそかに用いて仮想通貨を採掘し、私腹を肥やしている。
PrometeiはExchange Serverに潜んでいる脆弱性を悪用し、ネットワークへの侵入を果たした後、既知のさまざまな攻撃テクニックを用いてネットワーク内を水平移動しながら、可能な限り多くのエンドポイントへの感染を試みるようになっている。
ネットワーク内を移動するテクニックには、ログイン認証情報の収集や、RDPまわりの脆弱性の悪用、「EternalBlue」や「BlueKeep」といった脆弱性攻撃のほか、できる限り多くのマシンに感染を広げていく上で必要となる調査活動も含まれている
EternalBlueやBlueKeepで悪用される脆弱性は、Exchange Serverの脆弱性と同様に既にパッチがリリースされているが、攻撃者はそういったパッチを適用していない組織のネットワーク内でボットを拡散させていくことができる。
Cybereasonの脅威リサーチ部門の責任者であるAssaf Dahan氏は米ZDNetに対して、「残念ながら今まで何度も目にしてきているように、パッチがリリースされたからといって、そのパッチが迅速に適用されるとは限らない。例を挙げると、EternalBlueによるエクスプロイトが世の中に出回り、パッチが適用できるようになって何年も経過しているにもかかわらず、攻撃者らによるこの脆弱性の悪用をわれわれは依然として目にしている」と述べた。
Prometeiの背後にいる犯罪者らは、侵入したネットワークでの長期的な活動を目的としているとみられる。その目的を達成するために犯罪者らは、洗練されたサイバー犯罪キャンペーンで悪用されているテクニックだけでなく、国家を後ろ盾とするハッキンググループが悪用しているテクニックすら利用している。
Prometeiは少なくとも現在のところ、仮想通貨のマイニングに特化したボットネットとなっている。
Dahan氏は「ネットワーク上で検知されない期間が長ければ長いほど、より多くの仮想通貨をマイニングできるようになる。そして、ボットネットのレジリエンスを向上し、マルウェアにステルス機能を追加し、頻繁にAPT(高度標的型攻撃)と関連するテクニックやツールを使った」と述べた。
「攻撃者は、彼らがそうしたいと思えば、エンドポイントを他のマルウェアに感染させたり、ランサムウェアに関わる集団と協力してエンドポイントへのアクセスを売ったりすることもできた」(Dahan氏)
Prometeiの背後にあるサイバー犯罪活動について、あまり多くのことは知られていないが、このグループの活動に関するCybereasonの分析では、ロシア語を話す者が関与している可能性が示唆されている。そして、このグループはロシアの標的を感染させないようにしているようだという。
Prometeiという名称も「Prometheus」のロシア語に当たる。Prometheusはギリシア神話に登場する火にまつわる神だ。
Prometeiは現在も新たな標的を感染させようと活発にスキャンしているとみられている。被害に遭わないようにする最善の手段は、Exchange Serverのセキュリティパッチを適用することだ。
Dahan氏は、「何よりもまず、組織は優れたパッチ管理の手順を準備し、脆弱性を持つ可能性のあるシステムにパッチをするべきだ」と話す。
「しかし最も重要なのは、ITおよびセキュリティチームがプロアクティブに、継続的に既知の脅威を追跡すべきだということだ」(Dahan氏)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。