サイバーセキュリティ研究者は、Docker環境を標的とした、これまで文書化されていない手法を用いた暗号通貨を採掘するマルウェアキャンペーンを詳述しました。
DarktraceとCado Securityによると、この活動クラスターは、計算リソースを不正に利用して利益を得るために直接XMRigのようなマイナーを展開する他のクリプトジャッキングキャンペーンからのシフトを示しています。
これは、Teneoと呼ばれる新興のWeb3サービスに接続するマルウェア株を展開することを含みます。Teneoは、ユーザーがコミュニティノードを実行することで、公共のソーシャルメディアデータを収益化できる分散型物理インフラストラクチャネットワーク(DePIN)で、Teneoポイントと呼ばれる報酬と引き換えに、これを$TENEOトークンに変換できます。
ノードは基本的に、Facebook、X、Reddit、TikTokから投稿を抽出する分散型ソーシャルメディアスクレイパーとして機能します。
Darktraceのハニーポットから収集されたアーティファクトの分析により、攻撃はDocker Hubレジストリから”kazutod/tene:ten“というコンテナイメージを起動するリクエストから始まることが明らかになりました。このイメージは2ヶ月前にアップロードされ、これまでに325回ダウンロードされています。
コンテナイメージは、埋め込まれたPythonスクリプトを実行するように設計されており、非常に難読化されており、実際のコードを展開するために63回の反復が必要で、teneo[.]proへの接続を設定します。
“マルウェアスクリプトは単にWebSocketに接続し、Teneoからより多くのポイントを得るためにキープアライブのpingを送信するだけで、実際のスクレイピングは行いません”と、DarktraceはThe Hacker Newsに共有したレポートで述べています。”ウェブサイトに基づくと、ほとんどの報酬は実行されたハートビートの数に基づいて制限されているため、これが機能する可能性があります。”
このキャンペーンは、9Hits Viewerソフトウェアを使用して誤設定されたDockerインスタンスに感染させ、特定のサイトへのトラフィックを生成し、クレジットを取得するための悪意のある脅威活動クラスターを思い起こさせます。
この侵入セットは、特定のソフトウェアをダウンロードして未使用のインターネットリソースを共有し、何らかの金銭的インセンティブを得るプロキシジャッキングのような他の帯域幅共有スキームにも似ています。
“通常、従来のクリプトジャッキング攻撃はXMRigを使用して直接暗号通貨を採掘することに依存していますが、XMRigは高度に検出されるため、攻撃者は暗号を生成するための代替手段に移行しています”とDarktraceは述べています。”これがより利益をもたらすかどうかはまだわかりません。”
この開示は、Fortinet FortiGuard LabsがRustoBotと呼ばれる新しいボットネットを明らかにした際に行われました。このボットネットは、TOTOLINK(CVE-2022-26210およびCVE-2022-26187)およびDrayTek(CVE-2024-12987)デバイスのセキュリティ欠陥を通じて拡散し、DDoS攻撃を行うことを目的としています。これらの攻撃は主に日本、台湾、ベトナム、メキシコの技術セクターを標的にしていることが判明しています。
“IoTおよびネットワークデバイスはしばしば防御が不十分なエンドポイントであり、攻撃者が悪意のあるプログラムを配信するための魅力的なターゲットとなります”と、セキュリティ研究者のVincent Liは述べています。”エンドポイントの監視と認証を強化することで、悪用のリスクを大幅に減らし、マルウェアキャンペーンを軽減することができます。”
更新#
コンテナイメージはDocker Hubからのダウンロードができなくなりました。アカウントは引き続きアクティブなままです。