コンテンツにスキップするには Enter キーを押してください

アクティブなキャンペーンがクラウドの脆弱性を悪用し暗号通貨マイニングを実行

投稿日 2025年7月24日

Wizの調査によると、アクティブなキャンペーンがクラウド環境における様々な脆弱性や設定ミスを悪用し、暗号通貨マイナーを展開しています。

このキャンペーンは、攻撃者がGoogle Sitesというウェブサイト開発ツールで構築されたウェブサイト上の偽の404エラーメッセージページにペイロードを埋め込んでいることから、「Soco404」と名付けられました。

Wizはこれらの悪意あるサイトをGoogleに報告し、すでに削除されています。

攻撃者はLinuxとWindowsの両方のオペレーティングシステムを標的とし、プラットフォーム固有のマルウェアを展開しています。

Soco404は、より広範な暗号通貨詐欺インフラストラクチャの一部であると考えられており、これらの攻撃が長期的かつ機会主義的な作戦の一環であることを示唆しています。

7月23日付けのレポートでは、ハッカーたちが悪意ある活動を隠し、永続化を達成し、マルウェアを配信するために用いている高度な手法も強調されています。

「マイニングプール内で攻撃者の暗号通貨ウォレットにリンクされたワーカーの動的な数に基づくと、このキャンペーンは依然として活動中であるようだ」とWizは記しています。

機会主義的な悪用手法

研究者たちは、Soco404の攻撃者が公開されたサービスを自動スキャンし、アクセス可能なあらゆるエントリーポイントを悪用して暗号通貨マイナーのマルウェアを展開しようとしているようだと指摘しています。

「単一の手法やオペレーティングシステムに依存するのではなく、攻撃者は幅広く網を張り、環境内で利用可能なあらゆるツールや技術を使ってペイロードを配信しています。この柔軟なアプローチは、さまざまなターゲットに対してリーチと永続性を最大化することに重点を置いた、広範かつ自動化された暗号通貨マイニングキャンペーンの特徴です」とコメントしています。

これには、オープンソースデータベースであるPostgreSQLの機能を悪用してリモートコード実行を実現し、ホスト上で悪意あるペイロードを直接取得・実行することも含まれます。

もう一つよく見られる手法は、公開されているApache Tomcatインスタンスの侵害であり、おそらく弱い認証情報を利用していると考えられます。

攻撃者はまた、正規の韓国の交通関連ウェブサイトも侵害し、ペイロードを配信しています。

マルウェアの永続化と実行

Linux 

Linuxシステムでの侵害に成功すると、攻撃者はsoco.shスクリプトをメモリ上で直接実行し、ディスクへの書き込みを回避します。

このドロッパースクリプトは、メインペイロードの準備を行います。

ダウンロードされたペイロードは、まず競合する可能性のある他のマイナーを排除し、別のマウント名前空間を持つプロセスを強制終了します。

実行の証拠を削除し、ログを上書きすることでフォレンジック上の可視性を低減します。

スクリプトがroot権限で実行されている場合、暗号通貨マイニングのためにメモリパフォーマンスの最適化とCPU効率の最大化を試みます。

バイナリが起動され、メインペイロードのローダーとして機能します。実行されると、マルウェアは自身をメモリ上に展開し、複数の子プロセスを生成します。これらのプロセスの一つは、バイナリを「sd-pam」という名前で再実行し、Linuxシステムでプラグイン認証モジュール(PAM)セッションを処理する正規のユーザーサービスを装う役割を担います。

その後、Google Sitesで構築されたウェブサイト上にあるメインペイロードをホストするコマンド&コントロール(C2)サーバーに接続します。アクセス時には偽の404エラーページが表示され、バイナリがHTMLコンテンツ内にbase64エンコードされたブロブとして埋め込まれています。

メインペイロードは「cpuhp/1」や「kworker/R-rcu_p」といった名前で実行され、カーネル関連プロセスを装います。

被害者のシステムに定着すると、暗号通貨のマイニングを開始し、暗号通貨ウォレットに接続します。

Windows 

Windows用のペイロードも検知回避のための一連のプロセスを経ます。

初期アクセス後、Windowsバイナリが実行され、メインペイロードとWinRingO.sysドライバーを埋め込んだローダーとして機能します。永続化は、ランダムな8文字の大文字アルファベット名を持つサービスを作成することで確立されます。

Windowsイベントログサービスを停止することで検知を回避しようとします。

バイナリはconhost.exeプロセスを生成し、そこにメインペイロードをインジェクトして、複数のスレッドがTCPソケットを介して通信します。

その後、マルウェアはLinuxペイロードと同じウォレットを使用して暗号通貨のマイニングを開始します。

翻訳元: https://www.infosecurity-magazine.com/news/campaign-exploits-cloud/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です