Last Updated on 2024-06-12 23:44 by 荒木 啓介
サイバーセキュリティ研究者たちは、Dero暗号通貨をマイニングするために誤設定されたKubernetesクラスタを対象とした進行中のクリプトジャッキングキャンペーンについて警告している。この活動について明らかにしたクラウドセキュリティ企業Wizによると、これは2023年3月にCrowdStrikeが初めて文書化した財務的動機に基づく作戦の更新版である。
このインシデントでは、脅威アクターがインターネットに面したクラスタへの匿名アクセスを悪用し、Docker Hubでホストされている悪意のあるコンテナイメージを起動した。これらのDockerイメージには、「pause」と名付けられたUPXでパックされたDEROマイナーが含まれており、一部は10,000回以上ダウンロードされている。
初期アクセスは、匿名認証が有効になっている外部からアクセス可能なKubernetes APIサーバーを対象に、マイナーペイロードを配信することで達成される。2023年版が「proxy-api」という名前のKubernetes DaemonSetを展開したのに対し、最新版では「k8s-device-plugin」と「pytorch-container」という名前の seemingly benign DaemonSetsを使用して、最終的にクラスタの全ノード上でマイナーを実行する。
このコンテナを「pause」と名付ける背景には、実際の「pause」コンテナとして通過しようとする試みがある。この「pause」コンテナは、ポッドをブートストラップし、ネットワーク隔離を強制するために使用される。暗号通貨マイナーはGoで書かれたオープンソースのバイナリであり、ウォレットアドレスとカスタムDeroマイニングプールのURLがハードコードされている。また、分析に抵抗するためにオープンソースのUPXパッカーを使用して難読化されている。
Wizは、脅威アクターによって開発された追加のツールを特定した。これには、UPXでパックされたDeroマイナーのWindowsサンプルや、感染したホスト上で競合するマイナープロセスを終了させ、GitHubからGMinerをドロップするためのドロッパーシェルスクリプトが含まれる。攻撃者は、合法的なWebトラフィックと混同しやすく、疑いを持たれないように見える名前のドメインを登録し、そうでなければよく知られているマイニングプールとの通信を隠蔽した。これらの組み合わせた戦術は、攻撃者がその方法を適応させ、防御者より一歩先を行くための継続的な努力を示している。
【ニュース解説】
クラウドセキュリティ企業Wizの研究者たちが、誤設定されたKubernetesクラスタを狙ったクリプトジャッキング(暗号通貨の不正マイニング)キャンペーンについて警告しています。このキャンペーンは、Deroという暗号通貨をマイニングするために、インターネットに公開されたKubernetesクラスタのセキュリティ設定の不備を悪用しています。この活動は、2023年3月にCrowdStrikeによって初めて報告された財務的動機に基づく作戦の更新版とされています。
攻撃者は、Docker Hubにホストされている「pause」と名付けられた悪意のあるコンテナイメージを使用しています。これらのイメージには、UPXでパックされたDEROマイナーが含まれており、一部は10,000回以上ダウンロードされています。攻撃者は、匿名認証が有効になっている外部からアクセス可能なKubernetes APIサーバーを通じて、これらのマイナーペイロードを配信しています。
このキャンペーンの特徴として、攻撃者は「k8s-device-plugin」と「pytorch-container」という名前のDaemonSetsを使用しています。これらは表面上は無害に見えますが、実際にはクラスタの全ノード上でマイナーを実行するために利用されています。また、コンテナを「pause」と名付けることで、実際の「pause」コンテナとして認識されるように試みています。これは、ポッドをブートストラップし、ネットワーク隔離を強制するために使用される正規のコンテナです。
この攻撃キャンペーンの影響は、クラウド環境のセキュリティ管理における課題を浮き彫りにします。Kubernetesクラスタの誤設定は、攻撃者による不正アクセスのリスクを高めるため、適切なセキュリティ対策と定期的な設定の確認が重要です。また、このキャンペーンは、攻撃者が防御策を回避するためにどのように戦術を進化させているかを示しており、セキュリティ対策の継続的な更新と適応が必要であることを示唆しています。
ポジティブな側面としては、このような攻撃キャンペーンの発見と報告は、セキュリティコミュニティにおける知識の共有を促進し、他の組織が同様の脅威から身を守るための対策を講じる機会を提供します。しかし、潜在的なリスクとしては、クリプトジャッキングは組織のリソースを不正に消費し、システムのパフォーマンスに影響を与える可能性があります。さらに、攻撃者がクラスタ内で任意のコードを実行できるようになると、データの漏洩や他のセキュリティ侵害につながるリスクもあります。
将来的には、Kubernetesやその他のクラウドネイティブ技術のセキュリティ対策を強化するための新たなツールやプラクティスの開発が期待されます。また、組織はセキュリティ意識の向上と教育を通じて、従業員がセキュリティベストプラクティスを理解し、適用することが重要です。このような取り組みにより、クラウド環境のセキュリティを向上させ、将来的な脅威に対する抵抗力を高めることができます。
from Cryptojacking Campaign Targets Misconfigured Kubernetes Clusters.
