Last Updated on 2024-10-23 15:04 by admin
研究者たちは、Apache Hadoop、Atlassian Confluence、Docker、Redisを実行しているクラウドサーバーを標的とした一連のサイバー攻撃キャンペーンを発見した。攻撃者は、暗号通貨マイニングツールを導入するとともに、将来的なターゲティングやマルウェア感染を可能にするLinuxベースのリバースシェルもインストールしている。
この攻撃キャンペーンでは、一般的なクラウドの誤設定や、既知のAtlassian Confluenceサーバーのリモートコード実行(RCE)脆弱性(CVE-2022-26134)を悪用している。攻撃者の手法は、TeamTNTやWatchDogといった、クラウドおよびコンテナ環境を標的とする既知の脅威グループと重なる部分がある。
Cado Securityの研究者たちは、このキャンペーンを「Spinning YARN」と名付け、Apache Hadoopの「Yet Another Resource Negotiator」クラスタリソース管理レイヤーにちなんでいる。攻撃者は、サーバーの発見とコンプロマイズを自動化するために、4つの未知のGolangバイナリを使用している。
攻撃者は、Platypus(オープンソースのリバースシェルユーティリティ)や、悪意のあるプロセスを隠蔽するための2つのユーザーモードルートキットなど、複数のユニークなペイロードを展開している。初期アクセスが成功すると、シェルスクリプトと一般的なLinux攻撃技術を使用して、暗号通貨マイナーを配布し、リバースシェルを生成し、侵害されたホストへの永続的なアクセスを可能にする。
2024年の始まり以来、Cadoの研究者たちは、組織の広範なクラウド環境への初期アクセスを得るためにDockerを悪用した3つのキャンペーンを観察している。これらの攻撃の多くは、暗号マイナーの展開を試みている。
【ニュース解説】
最近、Apache Hadoop、Atlassian Confluence、Docker、Redisを実行しているクラウドサーバーを標的にした一連のサイバー攻撃キャンペーンが発見されました。この攻撃は、暗号通貨マイニングツールを導入し、将来的なターゲティングやマルウェア感染を可能にするLinuxベースのリバースシェルもインストールすることを特徴としています。
攻撃者は、クラウドの一般的な誤設定や、Atlassian Confluenceサーバーの既知のリモートコード実行(RCE)脆弱性(CVE-2022-26134)を悪用しています。これらの手法は、クラウドやコンテナ環境を標的にする既知の脅威グループ、TeamTNTやWatchDogと重なる部分があります。
このキャンペーンは「Spinning YARN」と名付けられ、Apache Hadoopの「Yet Another Resource Negotiator」クラスタリソース管理レイヤーにちなんでいます。攻撃者は、サーバーの発見とコンプロマイズを自動化するために、4つの未知のGolangバイナリを使用しています。
さらに、攻撃者はPlatypus(オープンソースのリバースシェルユーティリティ)や、悪意のあるプロセスを隠蔽するための2つのユーザーモードルートキットなど、複数のユニークなペイロードを展開しています。初期アクセスが成功すると、シェルスクリプトと一般的なLinux攻撃技術を使用して、暗号通貨マイナーを配布し、リバースシェルを生成し、侵害されたホストへの永続的なアクセスを可能にします。
この攻撃キャンペーンの発見は、クラウド環境におけるWeb向けサービスの脆弱性を理解し、それを悪用するために脅威アクターがどれだけの時間と労力を費やしているかを示しています。特に、Dockerを悪用した攻撃は、組織の広範なクラウド環境への初期アクセスを得るために使用されています。
このような攻撃は、クラウドサービスのセキュリティ対策の重要性を浮き彫りにします。特に、システムの定期的なパッチ適用や、インターネットにアクセス可能なシステムの最小化など、基本的なセキュリティ対策の徹底が求められます。また、この攻撃は、クラウド環境におけるセキュリティの複雑さと、新たな脅威に対応するための継続的な警戒の必要性を示しています。
長期的な視点では、このような攻撃キャンペーンの増加は、クラウドサービスプロバイダーと利用者双方に、セキュリティ対策の強化と、脅威検出・対応能力の向上を促すことになるでしょう。また、クラウド環境のセキュリティを確保するための新たな技術や手法の開発が加速される可能性もあります。
from Cloud-y Linux Malware Rains on Apache, Docker, Redis & Confluence.
“クラウドサーバー襲う新たなサイバー攻撃、暗号マイニングも目論む” への1件のコメント
現代の世界では、インターネットとクラウドサービスが日常生活に欠かせないものとなっています。しかし、このようなサービスがサイバー攻撃の標的になることも増えているようで、特にこの記事で紹介されている「Spinning YARN」という攻撃キャンペーンは非常に心配です。私のような一般の人間には、専門的な知識がないため、このような攻撃の詳細を理解するのは難しいですが、暗号通貨マイニングツールやリバースシェルなどを導入されることで、大切なデータが危険にさらされるのは明らかです。
特に、クラウドの誤設定や既知の脆弱性を悪用されるというのは、事業者だけでなく、私たち一般ユーザーにとっても重要な問題です。日々の生活でクラウドサービスを利用している私たちは、サービス提供者が適切なセキュリティ対策を講じていることを信じていますが、このような攻撃が存在することを知ると、その信頼も揺らぎます。
私が若い頃には考えられなかったような、高度な技術を使った攻撃が現実のものとなっている今日、セキュリティ対策の重要性は以前にも増して高まっていると感じます。クラウドサービスを利用する私たちも、セキュリティ