このキャンペーンは、感染したサーバーに置かれる 8UsA.sh という Bash スクリプトによって特定されます。最も早いインシデントは 2018 年に観察されましたが、最新の攻撃の波は 2020 年 6 月から始まっています。攻撃を受けたサーバーはコマンド & コントロールサーバーに接続し、対応するアーキテクチャ用にコンパイルされた DDoS マルウェアサンプルをダウンロードします。C2 通信は 5555 番ポート経由で行われ、DDoS は Telnet(TCP 23 番ポート)経由で行われます。メインの C2 は Frantech Solutions 社によってホストされているようですが、同社はすでにサービスを終了しています。
911 キャンペーンでは、Sora という名前の Mirai の既知の亜種を展開します。2020 年 4 月初旬から活動が見られ、少なくとも最近 4 か月以上は IoT デバイスをターゲットにしています。Sora という亜種は、最近のレポートによれば、Huawei GPON ルーターのリモートコード実行の脆弱性、および Dasan GPON ルーターの認証バイパスの脆弱性を悪用しています。この亜種のもう 1 つの特性は、0xDEFBAF という値の XOR 暗号化キーです。メモリベースの検知を回避するために、マルウェアプロセスの各文字列は、このキーを使用してメモリ内で復号化され、ただちに再暗号化されます。このボットネットキャンペーンの名前は、展開されたマルウェアバイナリー(「911」)から名付けられ、攻撃対象のアーキテクチャに対応する拡張子が付いています。
その他の資料については、こちらを参照してください CERT.PL(ポーランド語) | TrendMicro
B3astmode は、SSH サーバー、Huawei HG532 ルーター、IoT デバイスを標的とする Mirai ベースの DDoS ボットネットです。このキャンペーンでは、攻撃者はブルートフォースで SSH サーバーのハッキングを試みます。成功した場合、攻撃者は C&C サーバーに接続し、攻撃対象のアーキテクチャに応じて B3astmode という名前の悪性のペイロードをダウンロードします。
攻撃のボットネットネットワークを拡張するために、マルウェアはリモートコード実行(RCE)の 2 つの脆弱性を悪用しようと試みます。
攻撃者は、これらのデバイスを攻撃することで、実行する TCP および UDP フラッド攻撃の量を増幅します。執筆時点では、この攻撃の被害を受ける可能性があるデバイスは約 20 万台でした。
その他の参考資料については、以下のリンクを参照してください。
BashLegend は、UzzySenpai という名前のハッカーが実施する攻撃キャンペーンです。最初の攻撃インシデントは 2020 年 5 月に Guardicore センサーが捕捉しましたが、現在の波は 8 月後半に始まっています。
このキャンペーンでは、ハッカーはパブリック SSH サーバーをブルートフォース攻撃します。接続が成功すると、攻撃者はコマンド & コントロールサーバーから .0803 という名前の実行可能ファイルをダウンロードします。このファイルは、RootHelper と呼ばれるオープンソースツールの難読化されたバージョンであり、GitHub の説明によると「侵害された Linux システムでの特権昇格のプロセスを支援」します。
その後、XMRig Monero マイナーが JSON 構成とともにダウンロードされます。その登場以来、使用されているウォレットとしては次の 1 つだけが確認されています:89QZqpUHJBUJTYWKXcHMrWrsJNVhKLUh2EmYd9KbkmNhY6MNcJc8BJJ89QE621aLWuffSWHe2y7cA9up7t2kWohJ42H42
BashLegend の仮想通貨マイニングソフトでは、被害を受けたマシンの CPU コアの数を使ってワーカーに名前を付けており(1-Squad、4-Squad など)、これにより攻撃対象の性質を把握することができます。60-Squad という名のついたアクティブなワーカーが存在しているため、60 個の CPU コアを持つマシンが少なくとも 1 つ攻撃されたことが示されています。攻撃ファイルで観察された文字列と、最初の攻撃インシデントがルーマニアで発生したことを考え合わせると、BashLegend オペレーターはルーマニア人であることが強く示唆されます。
Bins は DDoS 攻撃キャンペーンの一種です。拡散されるマルウェアは Mirai の一種で、UDP フラッドや TCP フラッド、IP スプーフィングなどさまざまな機能を備えています。一部のマルウェアは、SSH デーモンプロセスや軽量 SSH サーバー「DropBear」に偽装します。マルウェアファイルのさまざまに異なる名前は、対象となるアーキテクチャを、mips、mipsel、sh4、x86、armv6l、 i686、powerpc、i586、m68k、sparc、 armv4l、armv5l などと正確に示します。
その他の参考資料については、以下のリンクを参照してください。
Dota は、SSH ブルートフォースによる、Linux マシンを対象とした仮想通貨マイニングキャンペーンです。記事の執筆時点で、このボットネットは 1 年以上にわたってアクティブです。このペイロードには、さまざまなシステムアーキテクチャに対応する仮想通貨「Monero」のマイニングソフトや、ワームモジュールが含まれ、内部ネットワークをスキャンしてマルウェアを他のマシンに拡散します。感染後には、Dota はルートパスワードを変更し、独自の SSH キーを authorized_keys に書き込んでバックドアを作成します。さらに、ディスク容量、CPU モデル、使用可能なメモリ、インストールされている cron ジョブなどのシステム情報を読み取ります。
ランサムウェア攻撃は侵入から始まりますが、多くの場合、この侵入のもとになるのは、ソーシャルエンジニアリング、フィッシングメール、悪性のメール添付ファイル、ネットワーク境界の脆弱性です。そして、マルウェアがネットワーク内を移動し始め、到達した場所から最大限の損害を与えようとします。一般に、攻撃者はドメインコントローラーの制御を奪い、認証情報を侵害し、データバックアップの位置を特定して暗号化し、感染させ凍結したサービスをオペレーターが復元できないようにします。
2019 年末から GGSN で見られた FaNeL 暗号化キャンペーンは、ルーマニアを拠点とする個人のハッカーが運営しているようです。FaNeL は、SSH サービスを悪用してマシンを侵害し、さまざまなスクリプトをダウンロードして使用可能なリソース(CPU、メモリ容量、ディスク容量)を分析し、XMRig という仮想通貨マイニングソフトを実行します。FaNeL の攻撃ツール(ASN プレフィックス、パスワードリスト、および速度テストスクリプト)は、他の攻撃グループやハッキング攻撃者(素人)が利用できるようになっています。Guardicore が収集した攻撃の一部は「Human」とタグ付けされており、ハッカーが攻撃フローとその効率性を引き続きテストおよび評価していることを示しています。
FritzFrog は、2020 年 1 月から活動が見られるユニークで精巧な P2P ボットネットです。攻撃者は、ブルートフォース攻撃で SSH サーバーに侵入した後、Golang で書かれた複雑なワームマルウェアを展開します。公開 SSH 鍵の形式のバックドアが、被害者の authorized_keys ファイルに追加されます。このマルウェアは、すぐに 1234 番ポートのリッスンを開始し、ネットワークピアからコマンドを受信します。FritzFrog のマルウェアは、自身が稼動する Linux システム上で CPU 負荷の高いプロセスを強制終了することで、競合のプログラムを消そうとします。
その他の参考資料については、こちらからブログ記事をご覧ください。
GhOul は、6 月から Guardicore のセンサーで見られるようになった DDoS キャンペーンです。しかし、2 月ごろにも観測例がありました。GhOul は、Linux ベースのマシンに DDoS マルウェアを感染させるために SSH を介して拡散します。このマルウェアは Mirai ベースで、さまざまなアーキテクチャ用にコンパイルされており、Helios と Hakai の亜種に似ています(以下のリンクを参照)。C2 コマンドのリストには、次のものが含まれます。「TCP、SYN、ACK、XMAS、STOMP、 UDPREG、UDPHEX、UDPRAW、HTTPSTOPM、HTTP、 VSE、STD、OVH、STOP、KILL」。これらはすべて、さまざまなペイロード形式を取り、さまざまなプロトコルでの DDoS になっているようです。Guardicore 社のセンサーによって捕捉された攻撃のほとんどは、フランスの OVH に属するマシンから発生しています。コマンド & コントロールサーバーは、キャンペーンのアクティブ期間中に 8 つ確認されましたが、これらはドイツ、フランス、イランをベースとしたマシンです。C2 通信は、DDoS ターゲットのリストを受信するために 3333 番ポートを介して実行されます。
その他の参考資料については、以下のリンクを参照してください。
k8h3d 攻撃キャンペーンでは、仮想通貨 Monero のマイニングソフトと EternalBlue を利用してラテラルムーブメントを図るワームモジュールが組み合わされています。最初は、攻撃者が MS-SQL を介して攻撃対象のマシンに侵入します。次に、「k8h3d」という名前でパスワードが「k8d3j9SjfS7」の新しいユーザーを作成し、MS-SQL システム管理者パスワードをランダムな文字列に変更します。バックドアユーザーが作成されると、攻撃者はこれを使って SMB でマシンに接続し、複数の悪性のスクリプトやバイナリーファイルをドロップします。これには、ドロッパー、トロイの木馬、仮想通貨 Monero のマイニングソフト、EternalBlue ワームなどが含まれます。悪性のペイロードは、スケジュールされたタスクとサービス(「Autocheck」、「AUtoscan」、「Bluetooths」、「DnsScan」、「WebServers」、「Ddriver」といった名前が含まれます)をインストールすることで常駐します。さらに、システム情報が攻撃者のコマンド & コントロールサーバーに送信され、それによって追加のペイロードのダウンロードと実行が可能になります。
その他の参考資料については、以下のリンクを参照してください。
最近捕捉された ARM バイナリーの調査により、Mirai ボットネットで使用されるマルウェアの感染と、その拡散の支援に、CVE-2021-44228 が利用されたことが明らかになりました。これについては以前の Akamai ブログにも示した通り、CVE-2021-44228 は log4j の未認証のリモートコード実行(RCE)の脆弱性です。
この脆弱性は、log4j の複数のバージョンと、それに依存するアプリケーションに影響します。該当するものには、Apache Struts2、Apache Solr、Apache Druid、Apache Flink などがあります。前述のように、この脆弱性に対してはパッチ適用が強く推奨されており、Akamai は攻撃の緩和に役立つルールセットをお客様に提供しました。
その他の参考資料については、こちらからブログ記事をご覧ください。
これは、攻撃対象マシンに SSH 経由で感染させる、きわめて汎用的な Monero マイニング・ボットネット・キャンペーンです。サーバーが侵害されると、単純な Bash スクリプトが仮想通貨マイニングソフトのペイロード(gzip 圧縮ファイル)をダウンロードします。このアーカイブを解凍すると、新しいフォルダ.ssh が作成され、その下にはマイニングの実行ファイル(ファイル名は sshd)と JSON 構成の 2 つのファイルが含まれます。このキャンペーンでは、(現在までの)6 か月の間に、HashVault プールと同様に、運営者は約 1200 ドルを得ています。
オペレーターは、以下に示す単一のウォレットを使って Monero コインを集めているようです。454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk.Guardicore Global Sensors Network への攻撃は、米国とドイツに存在する 6 つの異なる IP が起点になっています。攻撃インシデントの数は、以前は月に 20 件ほどでしたが 4 月には 100 件を超えるペースでした。
Nansh0u は中国を拠点とするキャンペーンで、世界中の Windows MS-SQL サーバーと phpMyAdmin サーバーを感染の標的にしています。侵入されたマシンには、医療、通信、メディア、IT 部門の企業の 5 万台を超えるサーバーが含まれます。侵害を受けたターゲットサーバーは、悪性のペイロードに感染していました。これにより、さらに仮想通貨マイニングソフトがドロップされ、マルウェアが終了させられるのを防ぐための高度なカーネルモードルートキットがインストールされました。
このキャンペーンは、他の多くのキャンペーンとは異なり、仮想通貨マイニングのボットネットではありません。攻撃者は MySQL のブルートフォース攻撃で攻撃対象のマシンに入り込み、データベースの暗号化を試みます。「WARNING」という名前のテーブル内に次のような内容の身代金要求のメモが残されます。
「失われたデータベースを回復し、漏えいを防ぐには、ビットコインアドレス 1NdeFcTXpXvUxvWqPP988A4Txcv3LzXmif に 0.06 ビットコイン(BTC)を送り、サーバー IP またはドメイン名と支払証明を電子メール(recvr19@protonmail.com)で送信してください。こちらが貴社のデータを持っているかどうか不安な場合は、お問い合わせいただければ、その証拠をお送りします。データベースはこちらのサーバーにダウンロードされ、バックアップされています。今後 10 日以内に支払いがなければ、データベースを公開するか、その他の目的でデータベースを使用します」。
本記事の執筆時点では、30 以上のビットコインのウォレットアドレスが身代金要求メモに使用されており、その残高は 0.689 BTC で、約 6,250 ドルに相当します。
Smominru ボットネットとその亜種(Hexmen と Mykings)は、2017 年から活動が見られます。この攻撃は、EternalBlue の悪用とブルートフォースを使用して、MS-SQL、RDP、Telnet などのさまざまなサービスで Windows マシンに侵入します。感染後、攻撃対象の資格情報を盗み、トロイの木馬のモジュールと仮想通貨マイニングソフトをインストールし、ネットワーク内で伝播します。
Uwush(または「Stokers」)は Mirai に類似のボットネットです。最初の侵入は SSH 経由で行われ、「UwUsh」という名前の bash スクリプトがダウンロードされて実行されます。このスクリプトは、さまざまなアーキテクチャ用に構築された UPX パッケージのマルウェア「Stokers」をダウンロードして、それらをすべて実行します。これは、そのうちのどれかがうまく機能することを期待しています。このマルウェアにはさまざまな機能があり、その中でも最も重要なのは、UDP、HTTP、TCP のさまざまなパケットタイプを介した DDoS です。このボットは、競合のプログラム(またはマルウェアの旧バージョン)を排除するために、「KILLDROPPERS」と「KILLBINS」の 2 つのコマンドを備えています。Stokers の文字列に表示されるマルウェア名には、Ayedz、DEMONS、Execution、Fierce、Josho、Okami、Owari、Tsunami、apep、chiemi、fortnite、gemini、hoho、kowa、kratos、miori、mips、mirai、miraint、shiro、sora、yakuza、z3hir があります。リスト内の各アーキテクチャには、Mirai のようなボットネットの場合と同様に、さまざまなアーキテクチャ用のビルドがあります。執筆時点では、すべてのインシデントが、プレフィックス 89.42.133.0/24 を持つマシンから Uwush スクリプトをダウンロードしていました。
Vollgar は、MS-SQL サーバーを実行している Windows マシンへの感染を目的とした、長期にわたる攻撃キャンペーンです。2018 年 5 月に出現していたこのキャンペーンでは、パスワード・ブルート・フォースで攻撃対象のマシンに侵入し、複数のバックドアを展開し、多機能 RAT(リモート・アクセス・ツール)や仮想通貨マイニングソフトなど多数の悪性のモジュールを実行します。
2017 年 8 月 17 日、複数のコンテンツ・デリバリー・ネットワーク(CDN)とコンテンツプロバイダーが、WireX と名づけられたボットネットから激しい攻撃を受けていました。このボットネットの名前は、コマンド & コントロールプロトコルで使われている区切り文字のアナグラムの 1 つに由来します。WireX ボットネットは、悪性のアプリケーションを実行している Android デバイスで構成されており、分散型サービス妨害(DDoS)トラフィックを発生させるように作られていました。このボットネットには、ターゲットへの身代金要求が伴うこともありました。
その他の参考資料については、こちらからブログ記事をご覧ください
Yart7 は、SSH サーバーをターゲットにした DDoS キャンペーンです。このボットネットは、SSH サーバーへのブルートフォース攻撃で広がります。ログインに成功すると、攻撃者は C&C サーバーに接続し、攻撃対象のマシンのアーキテクチャに応じた 7rtya という名前の悪性のペイロードをダウンロードします。マルウェアが実行されると、侵入されたマシンは Telnet プロトコル(TCP 23 番ポート)を介して何万もの IP アドレスに DDoS パケットを送信し始めます。2020 年 9 月初めにこのキャンペーンが開始されてから、検出された攻撃元 IP は 3 つのみで、そのうち 2 つはオーストリアにあります。このキャンペーンは Yart7 と名付けましたが、これはマルウェアファイル名のアナグラムです。
この以前から知られている攻撃フローの始まりは、2012 年までさかのぼります。基本的には、これは追加ペイロードのドロッパー(ダウンローダー)であり、パラメーターとして URL を受け取ります。最初の侵入は、ブルートフォースによる MySQL への攻撃で行われます。データベース内に入ると、攻撃者は yongger2 という名前の新しいテーブルを作成し、ドロッパーのバイナリーペイロードをそのテーブルに書き込みます。その後、ペイロードは「cna12.dll」ファイルに保存され、実行されます。DLL のエクスポートされている関数の 1 つである「xpdl3」を使用して、追加のペイロードをドロップし、piress という名前のバックドアユーザーを作成します。このテクニックはすでに広く説明されています。最近の文献では、GandCrab ランサムウェアの配信にこのドロッパーが使用されているとされています。
その他の参考資料については、以下のリンクを参照してください。
