2025年7月25日Ravie Lakshmananマルウェア / クラウドセキュリティ
脅威ハンターたちは、クラウド環境における脆弱性や設定ミスを狙い、暗号通貨マイナーを配布する2つの異なるマルウェアキャンペーンを明らかにしました。
これらの脅威活動クラスターは、それぞれクラウドセキュリティ企業のWizとAquaによってSoco404およびKoskeとコードネームが付けられています。
Soco404は「LinuxとWindowsの両方のシステムを標的とし、プラットフォーム固有のマルウェアを展開します」とWizの研究者Maor Dokhanian、Shahar Dorfman、Avigayil Mechtingerは述べています。「攻撃者はプロセスマスカレード技術を用いて、悪意のある活動を正規のシステムプロセスに偽装します。」
この活動は、ペイロードがGoogle Sitesを使って構築されたウェブサイト上にホストされた偽の404 HTMLページに埋め込まれていることを指しています。これらの偽サイトはその後Googleによって削除されました。
Wizは、以前からApache Tomcatサービスの弱い認証情報や、Apache StrutsやAtlassian Confluenceサーバの脆弱性を利用し、Sysrvボットネットを使って攻撃していたキャンペーンが、詐欺的な暗号通貨取引プラットフォームを含む、より広範な暗号詐欺インフラの一部であると推測しています。
最新のキャンペーンでは、公開されているPostgreSQLインスタンスも標的となっており、攻撃者は侵害したApache Tomcatサーバを利用してLinuxおよびWindows環境向けのペイロードをホストしています。また、攻撃者は正規の韓国の交通関連ウェブサイトもマルウェア配布に悪用しています。
初期アクセスが得られると、PostgreSQLのCOPY … FROM PROGRAM SQLコマンドが悪用され、ホスト上で任意のシェルコマンドを実行し、リモートコード実行が達成されます。
「Soco404の背後にいる攻撃者は、公開されたサービスを自動スキャンし、アクセス可能なエントリーポイントを狙っているようです」とWizは述べています。「wgetやcurlなどのLinuxユーティリティや、certutilやPowerShellなどのWindowsネイティブツールを含む幅広い侵入ツールの使用は、機会主義的な戦略を示しています。」
Linuxシステムでは、ドロッパーシェルスクリプトがメモリ上で直接実行され、次の段階のペイロードをダウンロードして起動します。同時に、競合するマイナーを終了させて金銭的利益を最大化し、cronやwtmpに関連するログを上書きしてフォレンジックの可視性を制限します。
次の段階で実行されるペイロードはバイナリで、Google Sites上の外部ドメイン(”www.fastsoco[.]top”)に接続し、マイナーのローダーとして機能します。
Windows向けの攻撃チェーンでは、初期のポストエクスプロイトコマンドを利用してWindowsバイナリをダウンロード・実行します。これはLinux版と同様に、マイナーとWinRing0.sysドライバーの両方を埋め込んだローダーとして機能し、後者はNT\SYSTEM権限の取得に使われます。
さらに、マルウェアはWindowsイベントログサービスの停止を試み、自己削除コマンドを実行して検知を回避します。
「単一の手法やオペレーティングシステムに依存せず、攻撃者は利用可能なツールや技術を環境に応じて使い分け、ペイロードを配布しています」と同社は述べています。「この柔軟なアプローチは、さまざまな標的に対してリーチと持続性を最大化することに注力した、広範かつ自動化された暗号通貨マイニングキャンペーンの特徴です。」
Soco404の発見は、Koskeと呼ばれる新たなLinux脅威の出現と重なります。Koskeは、大規模言語モデル(LLM)の支援を受けて開発されたと疑われており、一見無害なパンダの画像を使ってマルウェアを拡散します。
攻撃は、JupyterLabなどの設定ミスがあるサーバを悪用し、2つのJPEG画像から様々なスクリプトをインストールすることから始まります。これには、LD_PRELOADを使ってマルウェア関連ファイルを隠すC言語ベースのルートキットや、最終的に感染システムに暗号通貨マイナーをダウンロードするシェルスクリプトが含まれます。両方のペイロードはディスクに痕跡を残さないよう、メモリ上で直接実行されます。
Koskeの最終目的は、ホストの計算資源を利用してMonero、Ravencoin、Zano、Nexa、Tariなど18種類のコインをマイニングする、CPUおよびGPU最適化型の暗号通貨マイナーを展開することです。
「これらの画像はポリグロットファイルであり、悪意のあるペイロードが末尾に付加されています。ダウンロードされると、マルウェアは悪意のあるセグメントをメモリ上で抽出・実行し、アンチウイルスツールを回避します」とAquaの研究者Assaf Moragは述べています。
「この手法はステガノグラフィではなく、ポリグロットファイルの悪用または悪意あるファイル埋め込みです。この手法では、末尾に悪意あるシェルコードを隠した有効なJPGファイルを使用します。最後のバイトだけがダウンロード・実行されるため、巧妙なポリグロット悪用の一形態となっています。」
翻訳元: https://thehackernews.com/2025/07/soco404-and-koske-malware-target-cloud.html