コンテンツにスキップするには Enter キーを押してください

攻撃者が脆弱性を悪用後に「パッチ」を適用し、競合を排除

投稿日 2025年8月19日

脅威アクターが、他の攻撃者を排除し独占的なアクセスを確保するために、脆弱性を悪用した後に「パッチ」を適用する様子が観測されました。

この新しい手法は、Red Canaryの研究者によって、オープンソースのメッセージブローカーであるApache ActiveMQの脆弱性を標的とした一連の活動の中で検出されました。攻撃者はこれを利用して、クラウドベースのLinuxシステムへの永続的なアクセスを得ていました。

この重大な脆弱性CVE-2023-46604は、OpenWireコマンドにおけるthrowableクラス型の検証が不十分なため、Linuxシステムでリモートコード実行(RCE)が可能となるものです。この脆弱性は2023年10月に公に公開され、修正のためのソフトウェアアップデートが提供されました。

公開から約2年が経過した現在でも、この脆弱性はランサムウェアや暗号通貨マイニングなど、さまざまなマルウェア攻撃のために広く悪用されています。

Red Canaryの研究者が最近観測した攻撃では、攻撃者がシステムへの無制限アクセスを得た後、2つのActiveMQ JARファイルをダウンロードし、脆弱なバージョンの既存JARファイルと置き換えました。これはCVE-2023-46604に対する正当なパッチ適用となります。

競合する脅威アクターを排除することに加え、攻撃者は一般的な検出手法(脆弱性スキャナーなど)による検出を減らすために修正を行ったと研究者は考えています。

また、他の攻撃者が脆弱性を悪用しようとした際に検知されることで、防御側に発見される可能性も低減します。

「攻撃者は、すでに他の永続化メカニズムを確立しているため、脆弱性のパッチ適用によって自身の活動が妨げられることはありません」とRed Canaryの研究者は8月19日のレポートで述べています。

「競合を防ぐために脆弱性へパッチを適用するという行為は、悪用がいかに一般的であるかを強調しています」とも付け加えています。

新たなダウンローダーがクラウドLinuxシステムを標的に

初期アクセスを得た後、攻撃者は複数の脆弱なクラウドベースのLinuxエンドポイントで悪意のある活動を行っていることが観測されました。その中には、これまで知られていなかったダウンローダー「DripDropper」の使用も含まれていました。

その後の攻撃者によるコマンド&コントロール(C2)ツールはエンドポイントごとに異なり、SliverやCloudflareトンネルなどが含まれていました。

あるケースでは、Sliverインプラントをインストールした後、攻撃者は既存のsshd設定ファイルを変更し、rootログインを有効にしました。これにより、最高権限でのリモートアクセスが可能となりました。

sshdはOpenSSHサーバープロセスであり、プロトコルを用いた着信接続の待ち受け、ユーザー認証、暗号化、ターミナル接続、ファイル転送、トンネリングなどを処理します。

sshdによって開始された新しいセッション下で、攻撃者はDripDropper(暗号化されたPyInstaller実行ファイルおよびリンク可能な形式のファイル)をダウンロードしました。

このファイルは、ハードコードされたベアラートークンを使用して攻撃者が管理するDropboxアカウントと通信します。この通信により2つの悪意あるファイルが作成され、プロセス監視、Dropboxアカウントへの追加指示の問い合わせ、ユーザーアカウントのデフォルトログインシェルの変更によるさらなる永続的アクセスの準備など、さまざまな動作を行います。

最終的に、長期的なアクセスをさらに確保するためにCVE-2023-46604への修正が適用されました。

クラウドベースLinuxシステムのWebサーバーを保護する方法

Red Canaryの研究者は、今回観測された攻撃でsshdが標的となったことから、クラウドベースLinuxシステムにおける脆弱なWebサーバーのリスクを強調しています。

彼らは、こうした脅威へのセキュリティ強化のため、以下の推奨事項を示しています:

  • sshdなどのWebサービスに対してポリシーベースの制御を強制し、AnsibleやPuppetのようなツールを活用して、攻撃者による設定ミスを自動的に修復する
  • Webサービスを非rootアカウントで実行するよう設定し、侵害時の影響を最小限に抑える
  • 必須認証を徹底する
  • CISAの既知の悪用された脆弱性(KEV)カタログを利用して、脆弱なサービスにパッチを適用しセキュリティを強化する
  • 内部サービスへの着信ルールを信頼できるIPアドレスやVPNに限定することで、ネットワークへの露出を制限する
  • 外部公開サービスには最小権限の原則を適用する

翻訳元: https://www.infosecurity-magazine.com/news/attacker-patches-vulnerability/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です