サイバー攻撃者がApache Hadoop YARN、Docker、Atlassian Confluence、Redisサービスを実行する設定ミスや脆弱性を持つサーバーを標的にして、暗号通貨マイナーを配布し、永続的なリモートアクセスのためのリバースシェルを生成するマルウェアキャンペーンが出現している。この活動は、クラウドセキュリティ会社によってSpinning YARNと名付けられ、TeamTNT、WatchDog、Kiss-a-dogといったクラウド攻撃との関連が指摘されている。攻撃者は、Confluence、Docker、Hadoop YARN、Redisホストを特定し、攻撃するために4つの新しいGolangペイロードを展開し、masscanやpnscanを利用してこれらのサービスを探索する。
Dockerの侵害では、攻撃者はコンテナを生成し、それを脱出して基盤となるホストにアクセスする。初期アクセスを通じて、libprocesshiderやdiamorphineなどのルートキットのインストール、Platypusオープンソースリバースシェルユーティリティのドロップ、そして最終的にXMRigマイナーの起動が行われる。攻撃者は、クラウド環境で展開されるウェブ向けサービスの種類や、これらのサービスに報告された脆弱性についての知識を深め、標的環境への足がかりを得るために時間を投資している。
Uptycsによると、8220 Gangは2023年5月から2024年2月にかけて、Apache Log4j(CVE-2021-44228)およびAtlassian Confluence ServerおよびData Center(CVE-2022-26134)の既知のセキュリティ脆弱性を悪用し、クラウドインフラストラクチャを標的にした一連の攻撃を行っている。このグループは、脆弱なアプリケーションをインターネットスキャンで特定し、未修正の脆弱性を悪用してクラウドシステムへの不正アクセスを試みる。内部に侵入した後、セキュリティの強制を無効化し、ファイアウォールルールを変更し、クラウドセキュリティサービスを削除するなど、クラウド環境を操作し、悪意のある活動を検出されないようにする高度な回避技術を展開する。
また、Cadoは2023年下半期のクラウド脅威発見レポートで、脅威アクターが特殊な技術知識を必要とするクラウドサービスをますます標的にしており、クリプトジャッキングだけが動機ではなくなっていることを指摘している。LinuxシステムやESXiシステムでのランサムウェア、例えばAbyss Lockerの新しいLinuxバリアントの発見により、クラウドおよびLinuxインフラストラクチャがさまざまな攻撃の対象となっている。
【ニュース解説】
サイバー攻撃者がApache Hadoop YARN、Docker、Atlassian Confluence、Redisといったサービスを実行するサーバーの設定ミスや脆弱性を悪用し、暗号通貨マイナーを配布し、永続的なリモートアクセスを可能にするリバースシェルを生成する新たなマルウェアキャンペーンが発生しています。このキャンペーンは「Spinning YARN」と名付けられ、以前にもクラウド攻撃を行ってきたTeamTNT、WatchDog、Kiss-a-dogといったグループとの関連が指摘されています。
攻撃者は、Golangで書かれた4つの新しいペイロードを使用して、脆弱なConfluence、Docker、Hadoop YARN、Redisホストを特定し、攻撃します。特にDockerに関しては、攻撃者がコンテナを生成し、そのコンテナから脱出して基盤となるホストにアクセスする手法が取られています。この初期アクセスを足がかりに、攻撃者はルートキットのインストール、リバースシェルユーティリティの配置、そしてXMRigマイナーの起動など、さらなる悪意のある活動を行います。
このような攻撃は、クラウド環境におけるウェブ向けサービスの設定ミスや脆弱性を深く理解し、悪用することに時間を費やす攻撃者の存在を示しています。また、Uptycsの報告によると、8220 Gangというグループは、Apache Log4jやAtlassian Confluenceの既知のセキュリティ脆弱性を悪用し、クラウドインフラストラクチャを標的にした攻撃を行っています。これらの攻撃では、セキュリティの強制無効化やファイアウォールルールの変更など、クラウド環境を巧みに操る高度な回避技術が用いられています。
さらに、Cadoの報告では、脅威アクターが特殊な技術知識を必要とするクラウドサービスを標的にし、クリプトジャッキングだけでなく、LinuxやESXiシステムでのランサムウェア攻撃も増加していることが指摘されています。これは、クラウドおよびLinuxインフラストラクチャが多様な攻撃の対象となっていることを示しています。
このような攻撃の増加は、クラウドサービスのセキュリティ対策の重要性を改めて浮き彫りにしています。サーバーの設定ミスや脆弱性を悪用されることなく、安全なクラウド環境を維持するためには、最新のセキュリティパッチの適用、適切な設定の確認、そして定期的なセキュリティ監査が不可欠です。また、攻撃者が新たな手法を開発し続ける中、セキュリティ対策も進化し続ける必要があります。
from Hackers Exploit Misconfigured YARN, Docker, Confluence, Redis Servers for Crypto Mining.
