Last Updated on 2024-06-23 08:43 by 門倉 朋宏
インターネット上で公開されているDocker APIエンドポイントが、「Commando Cat」と呼ばれる洗練されたクリプトジャッキングキャンペーンの攻撃を受けています。このキャンペーンは、2024年の始まりから活動しており、2ヶ月連続で発見された2つ目のキャンペーンです。Cadoセキュリティの研究者によると、攻撃者はDockerを初期アクセスベクトルとして使用し、永続性の登録、ホストのバックドア化、クラウドサービスプロバイダ(CSP)の認証情報の窃取、マイナーの起動を担う相互依存するペイロードのコレクションを配信します。
攻撃は、脆弱なDockerインスタンスを侵害することで得られた足場を悪用し、Commandoオープンソースツールを使用して無害なコンテナをデプロイし、chrootコマンドを介してコンテナの制約から脱出する悪意のあるコマンドを実行します。さらに、システム上で特定のサービスがアクティブかどうかを確認し、次の段階に進みます。
次の段階では、コマンドアンドコントロール(C2)サーバーから追加のペイロードをドロップし、SSHキーを~/.ssh/authorized_keysファイルに追加し、攻撃者が知っているパスワードを持つ「games」という名前の不正ユーザーを作成して/etc/sudoersファイルに含めるシェルスクリプトバックドア(user.sh)が含まれます。同様に、Tiny SHell、gs-netcatと呼ばれるnetcatの改良版、および認証情報と環境変数を窃取するためのスクリプトも配信されます。
攻撃は、C2サーバーから取得されるのではなく、直接Base64エンコードされたスクリプトとして配信される別のペイロードのデプロイで終了し、感染したマシンから競合するマイナープロセスを排除した後にXMRigクリプトマイナーをドロップします。この脅威アクターの正確な起源は現在不明ですが、シェルスクリプトとC2 IPアドレスが過去にTeamTNTなどのクリプトジャッキンググループにリンクされていたものと重複していることが観察されており、コピーキャットグループである可能性が示唆されています。
このマルウェアは、クレデンシャルスティーラー、高度にステルスなバックドア、およびクリプトマイナーを一体化させ、感染したマシンから可能な限り多くの価値を抽出することができます。
【ニュース解説】
インターネット上で公開されているDocker APIエンドポイントが、”Commando Cat”と名付けられた洗練されたクリプトジャッキングキャンペーンの標的になっています。このキャンペーンは2024年の始まりから活動しており、脆弱なDockerインスタンスを侵害し、様々な悪意のある活動を行うことで注目を集めています。
Dockerは、アプリケーションをコンテナと呼ばれる隔離された環境で実行するためのオープンソースプラットフォームです。この技術は、開発と運用の効率化に大きく貢献していますが、適切なセキュリティ対策が施されていない場合、攻撃者に悪用されるリスクもあります。
Commando Catキャンペーンでは、攻撃者はDockerを初期アクセスポイントとして使用し、複数のペイロードを配信しています。これらのペイロードには、永続性の確保、ホストのバックドア化、クラウドサービスプロバイダの認証情報の窃取、そしてクリプトマイナーの起動が含まれます。特に、攻撃者はCommandoというオープンソースツールを使用して無害なコンテナをデプロイし、その後、chrootコマンドを介してコンテナから脱出し、悪意のあるコマンドを実行します。
この攻撃キャンペーンの特徴は、高度なステルス性と多機能性です。攻撃者は、マルウェアをメモリ上でのみ動作させることで、ディスクへのアクセスを避け、検出を困難にしています。また、クレデンシャルスティーラー、バックドア、クリプトマイナーを一体化させることで、感染したマシンから最大限の価値を引き出すことを目指しています。
このキャンペーンの発見は、クラウド環境とコンテナ技術のセキュリティに対する新たな警鐘を鳴らしています。企業や個人は、Dockerインスタンスのセキュリティ対策を強化し、不要なAPIエンドポイントの公開を避けることが重要です。また、環境変数や認証情報の管理にも注意を払い、定期的なセキュリティ監査を行うことが推奨されます。
長期的には、このような攻撃キャンペーンの増加は、セキュリティ対策の強化だけでなく、クラウドサービスプロバイダやコンテナ技術の提供者によるセキュリティ機能の改善や、ユーザー教育の強化を促すことになるでしょう。また、法規制の観点からも、クラウド環境とコンテナ技術のセキュリティ基準に関する議論が活発化する可能性があります。
from Exposed Docker APIs Under Attack in 'Commando Cat' Cryptojacking Campaign.
“Docker APIが「Commando Cat」攻撃の標的に、クリプトジャッキングの脅威拡大” への1件のコメント
この「Commando Cat」と名付けられたクリプトジャッキングキャンペーンについて読むと、私たちの日常生活と切り離せないデジタル技術の脆弱性が改めて浮き彫りになります。特に、Dockerのようなコンテナ技術は、開発と運用をスムーズにする一方で、セキュリティ面でのリスクもはらんでいることがわかります。攻撃者が高度な手法でシステムの弱点を突き、クレデンシャルやバックドアを設置することで、企業や個人の貴重なリソースを不正に利用する事例は、テクノロジーへの過信がもたらす危険性を物語っています。
この攻撃キャンペーンは、単に技術的な問題に留まらず、社会的な問題にもつながります。不正に取得されたコンピューティングリソースは、仮想通貨のマイニングに利用されていることから、クリプトカレンシーの安全性や信頼性にも影響を及ぼす可能性があります。さらに、感染したシステムが重要なインフラを支える場合、その影響は社会全体に波及することも考えられます。
このような脅威に対抗するためには、技術の専門家だけでなく、一般ユーザーもセキュリティ意識を高め、適切な対策を講じることが