Barracuda Threat Spotlight（バラクーダが注目する脅威）: クリプトマイナーマルウェアの新しい亜種

2020.07.09

2020年6月25日、Erez Turjeman

クリプトマイナーマルウェアGolangの新しい亜種がMicrosoft WindowsとLinuxの両方のマシンを攻撃しています。この亜種は非常に新しいため、攻撃の規模は小さいですが、バラクーダの調査担当者は、これまで、このマルウェアに関連付けられた中国を拠点とする7個の送信元IPアドレスを確認しています。この新しいマルウェアは、エンドユーザではなく、サーバを攻撃しています。

この進化する攻撃を検出および防止し、攻撃から回復できるように、攻撃とソリューションについて詳細に説明します。

主要な脅威

クリプトマイナーマルウェアGolangの新しい亜種: このマルウェアの新しい亜種はWebアプリケーションフレームワーク、アプリケーションサーバ、およびRedis、Microsoft SQL Serverなどの非HTTPサービスを攻撃しています。このマルウェアの主な目的は、既知のクリプトマイナーXMRigを悪用して、暗号通貨Moneroを盗み出すことです。このマルウェアは、ワームとして拡散し、他の脆弱なマシンを検索し、感染します。

このマルウェアの初期の亜種はLinuxマシンのみを攻撃していましたが、この新しい亜種は、Windowsマシンも攻撃しており、新しいエクスプロイトを悪用しています。たとえば、このマルウェアが実装するエクスプロイトの一部は中国でよく使用されているWebアプリケーションフレームワークThinkPHPを攻撃しています。他のマルウェア亜種と同様、このマルウェアが、進化し続け、ますます多くのエクスプロイトを悪用すると考えて間違いありません。

詳細

このマルウェアは、マシンに感染すると、攻撃を受けるプラットフォームに基づいてカスタマイズされた下記のファイルをダウンロードします。ただし、攻撃は初期ペイロード、更新スクリプト、クリプトマイナー、ウォッチドッグ、スキャナ、およびクリプトマイナーの設定ファイルを含む同じ戦略に従います。Windowsマシンの場合、このマルウェアはバックドアユーザを追加するスクリプトも含みます。

Linux	Windows	説明
init.sh 4cc8f97c2bf9cbabb2c2be292886212a	init.ps1 ebd05594214f16529badf5e7033054aa	このinitスクリプトは初期ペイロードの一部として実行されます。
update.sh 4cc8f97c2bf9cbabb2c2be292886212a	update.ps1 ebd05594214f16529badf5e7033054aa	この更新スクリプトは、initスクリプトと同一であり、スケジュールされたタスクとして実行されます。
sysupdate 149c79bf71a54ec41f6793819682f790	sysupdate.exe 97f3dab8aa665aac5200485fc23b9248	このクリプトマイナーはオープンソースのツールである既知のクリプトマイナーXMRigに基づいています。
sysguard c31038f977f766eeba8415f3ba2c242c	sysgurard.exe ba7fe28ec83a784b1a5437094c63182e	このウォッチドッグは、スキャナとクリプトマイナーを実行し、すべてのコンポーネントを更新します。
networkservice 8e9957b496a745f5db09b0f963eba74e	networkservice.exe a37759e4dd1be906b1d9c75da95d31a2	このスキャナは、インターネット上の脆弱なマシンを検索し、このマルウェアに感染させます。
該当なし	clean.bat bfd3b369e0b6853ae6d229b1aed410a8	このスクリプトは、Windowsマシンのみで使用され、バックドアユーザをシステムに追加します。
config.json c8325863c6ba60d62729decdde95c6fb	config.json c8325863c6ba60d62729decdde95c6fb	このファイルは上記のクリプトマイナーの設定ファイルです。

Linux

Windows

説明

init.sh

4cc8f97c2bf9cbabb2c2be292886212a

init.ps1

ebd05594214f16529badf5e7033054aa

このinitスクリプトは初期ペイロードの一部として実行されます。

update.sh

4cc8f97c2bf9cbabb2c2be292886212a

update.ps1

ebd05594214f16529badf5e7033054aa

この更新スクリプトは、initスクリプトと同一であり、スケジュールされたタスクとして実行されます。

sysupdate

149c79bf71a54ec41f6793819682f790

sysupdate.exe

97f3dab8aa665aac5200485fc23b9248

このクリプトマイナーはオープンソースのツールである既知のクリプトマイナーXMRigに基づいています。

sysguard

c31038f977f766eeba8415f3ba2c242c

sysgurard.exe

ba7fe28ec83a784b1a5437094c63182e

このウォッチドッグは、スキャナとクリプトマイナーを実行し、すべてのコンポーネントを更新します。

networkservice

8e9957b496a745f5db09b0f963eba74e

networkservice.exe

a37759e4dd1be906b1d9c75da95d31a2

このスキャナは、インターネット上の脆弱なマシンを検索し、このマルウェアに感染させます。

該当なし

clean.bat

bfd3b369e0b6853ae6d229b1aed410a8

このスクリプトは、Windowsマシンのみで使用され、バックドアユーザをシステムに追加します。

config.json

c8325863c6ba60d62729decdde95c6fb

config.json

c8325863c6ba60d62729decdde95c6fb

このファイルは上記のクリプトマイナーの設定ファイルです。

initスクリプト/更新スクリプト

initスクリプトと更新スクリプトはプラットフォームごとに同じコンテンツを共有します。また、このマルウェアのインストールとそのコンポーネントの更新の両方に使用されます。initスクリプトは初期ペイロードの一部として実行され、更新スクリプトはスケジュールされたタスク（Linux内のcrontab）として実行されます。

Linux向けのinitスクリプトは、攻撃的であり、競合するクリプトマイナーとマルウェアを削除し、ポートをブロックし、バックドアキーを追加し、Security-Enhanced Linuxを無効にします。Windows向けのinitスクリプトは、Linux向けのinitスクリプトほど高度ではなく、基本的な手順を実行します。このスクリプトは初期の亜種には見つからなかったため、調査担当者はWindowsに対する攻撃がこのマルウェアに新規に追加されたと考えています。

クリプトマイナー: sysupdate/sysupadte.exe

このクリプトマイナーはオープンソースのツールである既知のクリプトマイナーXMRigに基づいています。また、設定ファイルはconfig.jsonです。

ウォッチドッグ: sysguard/sysgurad.exe

このウォッチドッグは、スキャナとクリプトマイナーを実行し、すべてのコンポーネントを更新します。また、C&C（コマンドアンドコントロール）サーバに接続できない場合、特定のイーサリアムアカウント上のトランザクションを解析して、新しいサーバのアドレスを取得しようとします。

このウォッチドッグはUPX（Ultimate Packer for eXecutables）でストリップおよび圧縮されたGo言語で記述されています。

バックドアユーザ: clean.bat

このスクリプトは、Windowsマシンのみで使用され、バックドアユーザをシステムに追加します。Linuxシステムのinit/更新スクリプトは、承認済みのSSH（Secure Shell）キーをシステムに追加して、同様の手順を実行します。

スキャナ: networkservice/networkservice.exe

このスキャナは、UPXでストリップおよび圧縮されたGo言語で記述されており、インターネット上の脆弱なマシンをスキャンし、このマルウェアに感染させて、このマルウェアを拡散します。また、ランダムなIPアドレス（127.x.x.x、10.x.x.x、および172.x.x.x以外）を作成し、このようなIPアドレスのマシンを攻撃しようとします。

このスキャナは、乗っ取りに成功すると、次のC&Cサーバにレポートします。hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess/<IPアドレス>/<エクスプロイトタイプ>

また、下記のC&Cサーバに進行状況をレポートします。

hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/Iamscan/<スキャン数>

クリプトマイナーマルウェアの新しい亜種が悪用する脆弱性

製品	ポート	CVE（共通脆弱性識別子）	説明
Oracle WebLogic Server	7001/7002	CVE-2017-10271	このマルウェアは、CVE-2017-10271を悪用し、WindowsとLinuxの両方向けのペイロードをドロップしようとします。
Elasticsearch	9200	CVE-2015-1427、CVE-2014-3120	このマルウェアは、CVE-2015-1427とCVE-2014-3120の両方を悪用し、Linux向けのペイロードをドロップしようとします。
Drupal	該当なし	CVE-2018-7600	このマルウェアは、CVE-2018-7600を悪用し、Linux向けのペイロードをドロップします。
ThinkPHP	80/8080	CVE-2018-20062、該当なし	このマルウェアは、ThinkPHPフレームワークの2つの脆弱性を悪用し、WindowsとLinuxの両方向けのペイロードをドロップしようとします。
Apache Hadoop	8088	該当なし	このマルウェアは、この脆弱性を悪用して、Linux向けのペイロードをドロップします。
Redis	6379/6380	該当なし	このマルウェアは、まず、必要に応じて、認証情報を見つけようとします（辞書攻撃）。成功すると、crontabパスにDBファイルをダンプして、ACE（任意コード実行）に既知の方法を悪用します。
Microsoft SQL Server	1433	該当なし	このマルウェアは、まず、Microsoft SQL Serverの認証情報を見つけようとします（辞書攻撃）。成功すると、Windows向けのペイロードをドロップします。
IoT（モノのインターネット）デバイス	該当なし	該当なし	このマルウェアはIoTデバイス（CCTV、監視カメラ）を攻撃します。

上記の攻撃を防止する方法

このマルウェア亜種を防止するための重要な手順は下記のとおりです。

WAF（Webアプリケーションファイアウォール）を導入する: 正しく設定されたWAFを導入します。このマルウェア亜種は、インターネット上の脆弱なマシンをスキャンして、拡散します。多くの企業はアプリケーションセキュリティを見落としていますが、アプリケーションセキュリティは攻撃者が悪用しようとする主要な脅威ベクタです。

常に最新のパッチを適用する: 攻撃者は、このマルウェアを悪用して、常に脆弱性をスキャンしています。常に最新のセキュリティパッチと更新を適用することは、このような脅威に対処するために役立ちます。

システム上の疑わしい動作を監視する: このマルウェア亜種の動作を知ることは自社のWindowsおよびLinuxサーバ上のこのような動作を監視するために役立ちます。このため、すべての攻撃から可能なかぎり早く回復できます。このような動作を監視し、警告についてセキュリティ部門を教育するために役立つソリューションを導入します。

この脅威に関するウェビナーをチェック

原文はこちら：

Threat Spotlight: New cryptominer malware variant

June 25, 2020 Erez Turjeman

https://blog.barracuda.com/2020/06/25/threat-spotlight-new-cryptominer-malware-variant/