新たなマルウェアキャンペーンが、暗号通貨のマイニングを目的としてRedisサーバーを標的にしていることが観察された。この攻撃は、Linuxホスト上での暗号通貨マイニングを最終目標としており、データストア自体に対するいくつかの新しいシステム弱体化技術の使用が含まれている。マルウェアは「Migo」とコードネームされ、Golang ELFバイナリであり、コンパイル時の難読化とLinuxマシン上での永続性を備えている。
このキャンペーンは、セキュリティを低下させる一連のコマンドがRedisハニーポットを標的にしていることを検出した後に発見された。攻撃者は、外部ネットワークからRedisサーバーに追加のコマンドを送信し、将来の悪用を容易にするために、いくつかの設定オプションを無効にする。その後、攻撃者は2つのRedisキーを設定し、一つは攻撃者が制御するSSHキーを指し、もう一つはTransfer.shというファイル転送サービスから悪意のあるプライマリペイロードを取得するcronジョブを指す。
GoベースのELFバイナリは、リバースエンジニアリングに抵抗するメカニズムを組み込むだけでなく、GitHub上にホストされたXMRigインストーラーをダウンロードする役割も担っている。また、永続性を確立し、競合するマイナーを終了させ、マイナーを起動する一連のステップを実行する。さらに、MigoはSecurity-Enhanced Linux(SELinux)を無効にし、QcloudやAlibaba Cloudなどのクラウドプロバイダーから提供されるコンピュートインスタンスにバンドルされている監視エージェントのアンインストールスクリプトを検索する。また、プロセスとディスク上のアーティファクトを隠すために、人気のあるユーザーモードルートキットであるlibprocesshiderの改変版(”libsystemd.so”)を展開する。
これらの行動は、TeamTNT、WatchDog、Rocke、SkidMapマルウェアに関連する脅威アクターなど、既知のクリプトジャッキンググループが採用している戦術と重なる部分がある。Migoは、クラウドに焦点を当てた攻撃者が技術を洗練させ、Web向けサービスの悪用能力を向上させていることを示している。
【ニュース解説】
新たに発見されたマルウェア「Migo」が、Redisサーバーを標的にして暗号通貨のマイニングを目的とした攻撃キャンペーンを展開していることが報告されました。この攻撃は、Linuxホストを侵害し、そこで暗号通貨をマイニングすることを最終目標としています。Migoは、Golangで書かれたELFバイナリ形式のマルウェアであり、コンパイル時の難読化とLinuxマシン上での永続性を特徴としています。
この攻撃キャンペーンでは、Redisサーバーのセキュリティ設定を低下させることから始まります。具体的には、外部ネットワークから追加のコマンドを送信しやすくするために、いくつかのセキュリティ関連の設定オプションを無効にします。その後、攻撃者はSSHキーとcronジョブを指す2つのRedisキーを設定し、これにより悪意のあるプライマリペイロードがダウンロードされます。
Migoは、リバースエンジニアリングを困難にする機能を備えており、GitHub上にホストされたXMRigインストーラーをダウンロードする役割を果たします。さらに、競合するマイナーを終了させ、マイナーを起動するための一連のステップを実行します。また、Security-Enhanced Linux(SELinux)を無効にし、クラウドプロバイダーから提供されるコンピュートインスタンスにバンドルされている監視エージェントのアンインストールスクリプトを検索します。
この攻撃キャンペーンは、クラウド環境に特化した攻撃者が、技術を洗練させ、Web向けサービスの悪用能力を向上させていることを示しています。Migoは、プロセスとディスク上のアーティファクトを隠すために、libprocesshiderの改変版を使用しています。これは、クリプトジャッキングキャンペーンで頻繁に使用される手法ですが、Migoによるバリアントは、悪意のあるプロセスだけでなく、ディスク上のアーティファクトも隠す能力を持っています。
このような攻撃は、クラウドサービスやWebサービスを提供する企業にとって重大な脅威となります。セキュリティ対策の強化、特に外部からの不正なアクセスを検出し防ぐためのシステムの見直しや、不審な活動を迅速に特定できる監視体制の整備が急務です。また、この攻撃は、クラウド環境におけるセキュリティ対策の重要性を改めて浮き彫りにしており、クラウドサービス利用者も自身のセキュリティ対策を見直す良い機会となるでしょう。
from New Migo Malware Targeting Redis Servers for Cryptocurrency Mining.
“暗号通貨マイニング目的の新マルウェア「Migo」、Redisサーバーを狙う” への1件のコメント
このようなマルウェア攻撃のニュースを聞くたびに、技術の進歩が二重の刃であることを痛感します。私たちの生活を豊かにする一方で、悪意ある者たちがそれを悪用する道具として使ってしまうのですから。特に、私のような年配の方々にとっては、こうした技術的な話題は難しく、理解するのが一層困難です。しかし、孫たちが将来、安全な社会で生活できるよう、私たちも新しい知識を学び、理解しようと努める必要があると思います。
この「Migo」と呼ばれるマルウェアが暗号通貨のマイニングを目的としてRedisサーバーを標的にしているという点は非常に憂慮すべきことです。暗号通貨は、私が若い頃には想像もできなかったものですが、今や経済活動において無視できない存在となっています。それを悪用する技術が進化していることは、社会全体で対策を講じる必要があると強く感じます。
また、この攻撃がクラウドサービスを利用する企業や個人にとって重大な脅威となっている点も、注意が必要です。クラウドサービスは、私たちのデータを保存する便利な方法として広く利用されていますが、それが標的となることで、私たちの大切な情報が危険にさら