コンテンツにスキップするには Enter キーを押してください

攻撃者がDocker APIとTorの匿名性を利用して巧妙な暗号通貨の窃盗を実行

投稿日 2025年6月24日

黒い背景に光の点と線で構成された雲と、線で結ばれた光の点のグラフィック

出典: Aleksia via Alamy Stock Photo

脅威アクターは、誤設定されたDocker APIを悪用してコンテナ化された環境にアクセスし、Torの匿名性を利用して暗号通貨マイナーの展開を隠しています。

Trend Microの研究者は、特に「クラウド重視のセクター」を狙った攻撃を発見しました。これには、技術、金融サービス、医療セクターの組織が含まれていますとブログ投稿で明らかにしました。しかし、「コンテナ化されたアプリケーションを使用している組織はすべて潜在的に脆弱です」と、Trend Microの脅威研究者であるSunil BhartiとShubham Singhは投稿で書いています。

この攻撃ベクトルはある種のトレンドのようで、Trend Microや他のサイバーセキュリティベンダーも、脅威アクター「Commando Cat」として追跡されている者による2つのキャンペーンを特定しています。これらは、暗号通貨の不正採掘を目的として露出したDocker APIエンドポイントを狙っています。Trend Microの研究者は、このキャンペーンが以前の攻撃と関連しているかどうかは言及していませんが、露出したDocker APIは一般的に狙われるクラウドセキュリティの脆弱性です。

このキャンペーンで異なる点は、最終的に攻撃者が影響を受けたシステムにXMRig暗号通貨マイナーを展開する際に、Torを使って身元を隠し、マイナーを展開することですと研究者は述べています。攻撃者はまた、ZStandard無損失圧縮アルゴリズムに基づいたツールであるzstdを使用して、マイナーのパフォーマンスを向上させています。

攻撃の観察

Trend Microは、意図的に露出させたDocker Remote APIサーバーをおとりとして使用し、攻撃を観察しました。攻撃は、IPアドレス198[.]199[.]72[.]27からのリクエストで始まり、サーバーをターゲットにしてコンテナのリストを取得します。攻撃者は「alpine」Dockerイメージに基づいてコンテナを作成し、ホストのルート「(/:/hostroot:rw)」をコンテナにマウントします。これはホストシステムにアクセスまたは操作するための一般的な戦術ですと研究者は指摘しています。

コマンドチェーンは、Torをコンテナ内にセットアップし、匿名で隠された「.onion」サーバーからリモートスクリプトを取得して実行します。「これは、攻撃者がコマンド&コントロール(C&C)インフラストラクチャを隠し、検出を避け、侵害されたクラウドまたはコンテナ環境内でマルウェアやマイナーを配信するために使用する一般的な戦術を反映しています」と研究者は書いています。

さらに、攻撃者は「socks5h:」を使用してすべてのトラフィックとDNS解決をTor経由でルーティングし、悪意のある活動をさらに匿名化し隠します。

コンテナ作成リクエストが完了し、成功した応答を受け取ると、攻撃者は新たに作成されたコンテナを起動し、Torネットワークにホストされたファイルサーバーから悪意のあるシェルスクリプト「docker-init.sh」を展開します。このスクリプトは一連のタスクを実行し、最終的にXMRig暗号通貨マイナーのドロッパーとして機能するバイナリをダウンロードして実行します。

「このドロッパーはマイナーバイナリとすべての必要な実行ステップを内部に含んでおり、外部コンポーネントをダウンロードすることなくマイナーを展開できるようにします」と研究者は指摘しています。「このアプローチは、攻撃者が検出を避け、侵害された環境での展開を簡素化するのに役立ちます。」

コンテナ化された環境の保護

露出したDockerやKubernetesコンテナをターゲットにすることは、脅威アクターがクラウドネットワークにアクセスするための一般的な方法であり、暗号通貨の不正採掘だけでなく、他の脅威シナリオにも利用されます。このようにして、クラウドの誤設定は、組織にとってリスクが高く、しばしば見過ごされがちなセキュリティの責任です。対処する必要があります

コンテナ化された環境を狙ったこのような攻撃を軽減するために、Trend Microは、組織がDockerのセキュリティを強化するための特定のガイドラインに従ってコンテナとAPIを正しく設定することを推奨しています。防御者はまた、Dockerが提供する包括的なベストプラクティスと組み込みのセキュリティ機能を活用して、クラウド環境のセキュリティを向上させるべきです。

コンテナはまた、内部ネットワークなどの信頼できるソースにのみアクセスを許可するように設定する必要があると研究者は指摘しています。さらに、組織は公式または認定されたイメージのみを使用して、環境内で信頼できるコンテンツのみが実行されるようにし、コンテナをルート権限ではなくアプリケーションユーザーとして実行して、露出を制限するべきです。

定期的なセキュリティ監査を実施することで、クラウドセキュリティ管理者は疑わしいコンテナやイメージを監視することができます。Trend Microは、キャンペーンに関連する妥協の指標やURL、IPアドレスのリストを含めています。

翻訳元: https://www.darkreading.com/cloud-security/attackers-docker-apis-tor-anonymity-crypto-heist

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です