Cadoの研究者たちは、Dockerの露出したAPIエンドポイントを狙うマルウェアキャンペーン「Commando Cat」を発見しました。このキャンペーンは今年初めから活動しており、Dockerをターゲットにした2番目のキャンペーンです。最初のキャンペーンは9hitsトラフィック交換アプリケーションを使用していました。しかし、特にクラウド環境では、これらのDocker攻撃は珍しいことではありません。
「Commando Cat」は、Dockerを初期アクセスベクトルとして利用し、ホストのファイルシステムをマウントした後、ホスト上で直接一連の相互依存するペイロードを実行するクリプトジャッキングキャンペーンです。このキャンペーンの背後にいる脅威アクターは不明ですが、Team TNTなどの他のグループとスクリプトやIPアドレスが重複していることから、関連性または模倣犯である可能性が示唆されています。
このキャンペーンは、冗長性のレベルと回避の量により、自身を隠蔽する方法が洗練されています。資格情報の窃盗者、バックドア、および暗号通貨マイナーとして機能し、非常に隠密で悪意のある脅威となっています。
【ニュース解説】
Dockerの露出したAPIエンドポイントを狙う新たなマルウェアキャンペーン「Commando Cat」が発見されました。このキャンペーンは、2023年初頭から活動を開始し、Dockerを標的にした今年2番目の攻撃キャンペーンとなります。Dockerは、アプリケーションをコンテナ化し、異なる環境間での移植性と一貫性を提供する人気のあるプラットフォームです。しかし、その露出したAPIエンドポイントは、攻撃者にとって魅力的な標的となっています。
Commando Catキャンペーンは、Dockerを初期アクセスポイントとして使用し、ホストのファイルシステムにアクセスした後、ホスト上で直接複数のペイロードを実行します。これにより、攻撃者は資格情報の窃盗、バックドアの設置、暗号通貨のマイニングなど、複数の悪意ある活動を行うことができます。このキャンペーンの背後にいる脅威アクターはまだ特定されていませんが、他の攻撃グループとの類似点が指摘されており、特にTeam TNTとの関連性が示唆されています。
このキャンペーンの特徴は、その隠蔽技術の高さにあります。冗長性と回避技術を駆使しており、検出を困難にしています。これにより、Commando Catは非常に隠密性が高く、悪意のある脅威となっています。
このような攻撃キャンペーンの出現は、クラウド環境やコンテナ技術を利用する企業にとって重要な警告となります。特に、APIエンドポイントのセキュリティ対策の重要性を再認識させます。企業は、適切なセキュリティ対策を講じることで、このような攻撃から自身を守ることが可能です。具体的には、APIエンドポイントへのアクセス制御の強化、不正アクセスの監視、システムの定期的な更新とパッチ適用などが挙げられます。
また、このキャンペーンは、サイバーセキュリティの継続的な進化と、攻撃者が新たな技術やプラットフォームを標的にするために常に新しい手法を模索していることを示しています。そのため、セキュリティ対策も進化し続ける必要があります。企業は、最新の脅威情報に常に注意を払い、セキュリティ体制を継続的に更新し強化することが求められます。
from 'Commando Cat' Is Second Campaign of the Year Targeting Docker.
