Last Updated on 2024-10-30 14:54 by admin
RedTailという暗号通貨マイニングマルウェアが、Palo Alto Networksのファイアウォールに影響する新たに公表されたセキュリティ上の欠陥を悪用していることが明らかになった。この脆弱性はPAN-OSに存在し、CVE-2024-3400として追跡されており、CVSSスコアは10.0である。この脆弱性を悪用することで、認証されていない攻撃者がファイアウォール上で任意のコードをroot権限で実行できる。Akamaiによる調査により、このマルウェアは新しい反分析技術を取り入れ、更新されたことが確認された。また、攻撃者はプライベートな暗号通貨マイニングプールを使用することで、マイニングの結果に対するコントロールを強化している。
RedTailは、TP-Linkルーター(CVE-2023-1389)、ThinkPHP(CVE-2018-20062)、Ivanti Connect Secure(CVE-2023-46805およびCVE-2024-21887)、VMWare Workspace ONE Access and Identity Manager(CVE-2022-22954)など、他の既知のセキュリティ上の欠陥を悪用することで拡散する。
このマルウェアの最新バージョンには、暗号化されたマイニング設定が含まれており、組み込まれたXMRigマイナーを起動するために使用される。さらに、以前のバージョンと異なり、暗号通貨ウォレットが存在しないことが指摘されており、攻撃者がプライベートマイニングプールまたはプールプロキシに切り替えた可能性が示唆されている。
Akamaiは、RedTailが高度な回避および持続性技術を採用しており、暗号通貨マイナーマルウェアファミリーの中でも特に洗練されていると評価している。このようなプライベートマイニングオペレーションには、人員、インフラ、および難読化を含む重要な投資が必要であり、その洗練さは国家支援の攻撃グループの可能性を示唆している。
【ニュース解説】
Palo Alto Networksのファイアウォールに新たに発見されたセキュリティ上の脆弱性を悪用することで、RedTailと呼ばれる暗号通貨マイニングマルウェアが注目を集めています。この脆弱性は、CVE-2024-3400として識別され、最高レベルの危険度を示すCVSSスコア10.0を受けています。この脆弱性を利用することで、攻撃者はファイアウォール上でroot権限を持つ任意のコードを実行することが可能になります。
Akamaiの調査によると、RedTailマルウェアは新しい反分析技術を取り入れ、さらに進化しています。また、攻撃者はマイニングの結果をより細かくコントロールするために、プライベートな暗号通貨マイニングプールを使用していることが明らかにされました。これは、運用コストと財政的な負担が増加するにもかかわらず、マイニング活動をより効率的に管理しようとする試みです。
RedTailは、他のセキュリティ脆弱性も悪用して拡散しています。これには、TP-Linkルーター、ThinkPHP、Ivanti Connect Secure、VMWare Workspace ONE Access and Identity Managerなどが含まれます。このマルウェアの最新バージョンには、暗号化されたマイニング設定が含まれており、これを使用して組み込まれたXMRigマイナーを起動します。また、暗号通貨ウォレットが存在しないことから、攻撃者がプライベートマイニングプールまたはプールプロキシに切り替えた可能性が示唆されています。
このマルウェアの特徴として、高度な回避および持続性技術が採用されている点が挙げられます。これにより、分析を困難にし、マルウェアの検出を避けることが可能になります。Akamaiは、RedTailが特に洗練された暗号通貨マイナーマルウェアファミリーであると評価しており、その運用には重要な投資が必要であると指摘しています。これは、国家支援の攻撃グループによるものである可能性を示唆しています。
このニュースは、セキュリティ上の脆弱性がどのように悪用される可能性があるかを示しています。また、暗号通貨マイニングマルウェアがどのように進化しているか、そしてそれを防ぐためにはどのような対策が必要かを理解する上で重要です。企業や個人は、セキュリティパッチの適用、セキュリティ対策の強化、そして定期的なセキュリティチェックを行うことで、このような攻撃から自身を守ることができます。
from RedTail Crypto-Mining Malware Exploiting Palo Alto Networks Firewall Vulnerability.
【編集部追記】10月30日 12:44
暗号資産マイニングマルウェア「RedTail」による被害が、新たに報告されました。フードデリバリーサービス「出前館」を運営する株式会社出前館は、10月25日から発生したシステム障害の原因がRedTailへの感染であったことを明らかにしました。
出前館によると、10月25日20時頃、サーバーが高負荷状態となりサービスが停止。該当サーバーを切り離しサービスを再開したものの、翌26日14時30分頃、別のサーバーが高負荷状態となり再びサービスが停止しました。調査の結果、RedTailへの感染が確認され、マルウェアの削除を実施したとのことです。
RedTailは、コンピューティングリソースを不正に利用して暗号資産をマイニングするマルウェアです。今回の事例は、RedTailが企業のサーバーに侵入し、サービス停止を引き起こす危険性を改めて示すものとなりました。感染経路に関する出前館からのアナウンスは現時点ではありません。
RedTailへの感染を防ぐためには、以下の対策を講じることが重要です:
・最新のセキュリティパッチを適用する
・不審なメールや添付ファイルを開かない
・信頼できないウェブサイトへのアクセスを控える
・セキュリティソフトを導入し、常に最新の状態に保つ
企業は、RedTailによる被害を最小限に抑えるため、従業員へのセキュリティ教育を徹底するとともに、適切なセキュリティ対策を導入する必要があります。
参考情報:
出前館のシステム障害に関するお詫びと、復旧に関するご報告
出前館のサービス停止、暗号通貨マイニングマルウェア「RedTail」の仕業と判明
