サイバーセキュリティ研究者は、Docker、Gitea、HashiCorp ConsulおよびNomadに関連する公開アクセス可能なDevOpsウェブサーバーを標的にして、不正に暗号通貨を採掘する新たなクリプトジャッキングキャンペーンを発見しました。
クラウドセキュリティ企業Wizは、この活動をJINX-0132という名前で追跡しており、攻撃者が既知の設定ミスや脆弱性を幅広く悪用してマイナーのペイロードを配信していると述べています。
「特に、このキャンペーンは、野生で攻撃ベクトルとしてNomadの設定ミスが悪用された初めての公開された事例であると考えています」と研究者のGili Tikochinski、Danielle Aminov、およびMerav Barは、The Hacker Newsと共有されたレポートで述べました。
これらの攻撃がさらに際立っているのは、悪意のある行為者が自分たちのインフラストラクチャを使用するのではなく、GitHubリポジトリから直接必要なツールをダウンロードすることです。市販のツールの使用は、帰属努力を曇らせるための意図的な試みと見なされています。
JINX-0132は、数百のクライアントを管理するNomadインスタンスを侵害したとされており、これらのクライアントのCPUとRAMのリソースを組み合わせると、月に数万ドルのコストがかかるとされています。これはまた、クリプトジャッキング活動を駆動する計算能力を強調するものです。
Docker APIの悪用は、このような攻撃のためのよく知られた発射台であることは言うまでもありません。先週、Kasperskyは明らかにしましたが、脅威行為者は誤設定されたDocker APIインスタンスを標的にして、暗号通貨マイニングボットネットに参加させています。
公開されたDocker APIインスタンスは、脅威行為者がホストファイルシステムをマウントするコンテナを立ち上げたり、標準のDockerエンドポイント「/containers/create」や「/containers/{id}/start」を呼び出して暗号通貨イメージを起動したりすることで、悪意のあるコードを実行するための扉を開きます。
Wizは、脅威行為者がGiteaの脆弱性(例:CVE-2020-14144)や誤設定を利用して、ターゲットに最初の足掛かりを得ているとも述べています。GiteaはGitリポジトリをホストするための軽量のオープンソースソリューションです。
具体的には、Giteaの公開されたインスタンスが、既存のユーザーにアクセス権があり、gitフックを作成する権限がある場合、バージョン1.4.0を実行している場合、またはインストールページがロックされていない場合(すなわちINSTALL_LOCK=false)、リモートコード実行に対して脆弱であることが判明しています。
同様に、HashiCorp Consulは、システムが適切に構成されていない場合、任意のコード実行への道を開く可能性があります。これにより、リモートアクセス権を持つユーザーがサービスを登録し、ヘルスチェックを定義できるようになり、結果として登録されたエージェントによって実行されるbashコマンドを含むことができます。
「JINX-0132によって指揮されたキャンペーンでは、この機能を悪用して、実際には単にマイニングソフトウェアを実行する悪意のあるチェックを追加しました」とWizは述べています。「JINX-0132は、XMRigペイロードをダウンロードして実行することを目的とした、見かけ上ランダムな名前の複数のサービスを追加しています。」
JINX-0132は、公開されたNomadサーバーAPIの設定ミスを悪用して、GitHubからXMRigマイナーペイロードをダウンロードして実行する複数の新しいジョブを侵害されたホストに作成することも観察されています。これらの攻撃は、Nomadがこれらのジョブを作成および実行するためにデフォルトで安全ではないという事実に依存しています。
「このデフォルトの設定は、サーバーAPIへの無制限のアクセスが、サーバー自体およびすべての接続されたノードに対するリモートコード実行(RCE)機能と同等であることを意味します」とWizは述べています。
Shodanのデータによると、世界中で5,300以上の公開されたConsulサーバーと400以上の公開されたNomadサーバーがあります。露出の大部分は中国、アメリカ、ドイツ、シンガポール、フィンランド、オランダ、イギリスに集中しています。
翻訳元: https://thehackernews.com/2025/06/cryptojacking-campaign-exploits-devops.html