Docker脆弱性を突く「Commando Cat」のクリプトジャッキング攻撃が発覚

 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-07 19:28 by admin

Commando Catという脅威アクターが、セキュリティが不十分なDockerインスタンスを悪用して、金銭的利益のために暗号通貨マイナーを展開するクリプトジャッキング攻撃キャンペーンを行っている。この攻撃では、cmd.cat/chattrというDockerイメージが使用され、攻撃者のコマンドアンドコントロール(C&C)インフラストラクチャからペイロードを取得する。Commando Catは、ベナインコンテナを生成するオープンソースのCommandoプロジェクトを使用することからその名が付けられ、今年初めにCado Securityによって初めて文書化された。攻撃は、誤設定されたDockerリモートAPIサーバーを対象とし、cmd.cat/chattrというDockerイメージをデプロイして、chrootコマンドを使用してその制約を破り、ホストオペレーティングシステムにアクセスする。最終的には、C&Cサーバー(“leetdbs.anondns[.]net/z”)からcurlまたはwgetコマンドを使用して悪意のあるマイナーバイナリを取得する。

この攻撃キャンペーンの重要性は、Dockerイメージを使用してコンプロミスされたシステム上にクリプトジャッキングスクリプトを展開し、セキュリティソフトウェアによる検出を回避しながらDocker設定の脆弱性を悪用することにある。

また、Akamaiは、ThinkPHPアプリケーションの数年前のセキュリティ欠陥(例:CVE-2018-20062およびCVE-2019-9082)が、2023年10月17日から進行中のキャンペーンの一環として、中国語を話すと思われる脅威アクターによって悪用されていることを明らかにした。この攻撃は、別のコンプロミスされたThinkPHPサーバーから追加の難読化されたコードを取得し、システムに最初の足場を築くことを試みる。システムを成功裏に悪用した後、攻撃者はDamaと名付けられた中国語のウェブシェルをインストールして、サーバーへの持続的なアクセスを維持する。このウェブシェルは、システムデータの収集、ファイルのアップロード、ネットワークポートのスキャン、権限の昇格、ファイルシステムのナビゲーションなど、複数の高度な機能を備えており、ファイルの編集、削除、タイムスタンプの変更などの操作を可能にする。

【ニュース解説】

セキュリティが不十分なDockerインスタンスを標的にした「Commando Cat」と呼ばれる脅威アクターによるクリプトジャッキング攻撃キャンペーンが発生しています。この攻撃では、特定のDockerイメージ「cmd.cat/chattr」を使用し、攻撃者のコントロール下にあるサーバーから悪意のあるペイロードを取得しています。この手法により、攻撃者はコンプロミスされたシステム上で暗号通貨マイナーを展開し、不正に金銭的利益を得ています。

この攻撃キャンペーンの特徴は、Dockerの設定の脆弱性を利用して、セキュリティソフトウェアの検出を回避しながらクリプトジャッキングスクリプトを展開する点にあります。Dockerは、アプリケーションのデプロイメントを容易にするためのプラットフォームであり、その設定が不適切な場合、攻撃者による悪用のリスクが高まります。

この攻撃キャンペーンは、セキュリティ対策の重要性を改めて浮き彫りにしています。特に、Dockerインスタンスの適切な設定と管理が欠かせません。また、この攻撃は、クリプトジャッキングが依然として有効な攻撃手法であることを示しており、企業や個人はこの種の攻撃に対して警戒を怠らないようにする必要があります。

さらに、このニュースには、ThinkPHPアプリケーションの古いセキュリティ欠陥が中国語を話すと思われる脅威アクターによって悪用されているという情報も含まれています。この攻撃では、Damaと呼ばれるウェブシェルが使用され、システムへの持続的なアクセスを確保しています。この事例からも、ソフトウェアのセキュリティパッチの適用の遅れが、攻撃者に悪用されるリスクを高めることがわかります。

これらの攻撃キャンペーンは、セキュリティ対策の継続的な強化と、新たな脅威に対する迅速な対応の重要性を示しています。企業や個人は、セキュリティのベストプラクティスを遵守し、システムの脆弱性を定期的に評価し、必要に応じて対策を講じることが求められます。また、セキュリティコミュニティとの情報共有も、脅威に効果的に対処するための鍵となります。

from Commando Cat Cryptojacking Attacks Target Misconfigured Docker Instances.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Docker脆弱性を突く「Commando Cat」のクリプトジャッキング攻撃が発覚