出典:Ingram Publishing(Alamy Stock Photo経由)
「GoBruteforcer」として知られるボットネットが、研究者がAI生成の設定を使用していると疑う幅広いサーバーを侵害している。
Check Point Researchは1月7日、このモジュール型ボットネットの詳細を明らかにした。これはLinuxサーバー上で、FTP、MySQL、Postgre、phpMyAdminなどのサービスに対し、弱いユーザーパスワードを総当たり攻撃(ブルートフォース)する。GoBruteforcerに侵害されたサーバーはノードへと変えられ、さらに別のサーバーに対して総当たり攻撃を仕掛ける。
このボットネットの背後にいる脅威アクターは金銭目的であるようで、データ窃取に加え、初期アクセスの販売、そして最近では暗号資産の窃取にも重点を置いている。Check Pointは、インターネットに公開された5万台以上のサーバーがGoBruteforcerに対して脆弱である可能性があると推測している。
「現在のキャンペーンの波は2つの要因によって動かされている。一般的なユーザー名や弱いデフォルト設定を広めるAI生成のサーバー展開例の大量再利用、そしてFTPや管理インターフェースを最小限のハードニングで露出させるXAMPPのようなレガシーWebスタックの残存だ」とCheck Pointはブログ投稿で述べた。
GoBruterforcerは2023年に初めて公に報告されたが、Check Pointはより高度な機能セットと改良された難読化を備えた新しい亜種を、同社のブログ投稿で取り上げた。
GoBruteforcerの仕組み
GoBruteforcerは、侵害されたサーバーを遠隔操作するIRCボットと、公開IPレンジをスキャンしてログインを試みることができるサーバー側のブルートフォーサーに分かれている。認証情報はマルウェアにハードコードされている場合もあれば、攻撃者のコマンド&コントロール(C2)基盤を介して送られる場合もある。Check Pointによれば、こうした機能セットに加え、最新バージョンには「強く難読化されたIRCボット(Goで全面的に書き直し)、改善された永続化メカニズム、プロセス偽装のトリック、そしてサーバー側の動的な認証情報リスト」が含まれるという。
このキャンペーンは機会主義的で、攻撃者が正面玄関から悠々と入り込めるような、推測しやすいユーザー名/パスワードの組み合わせという「低い実」を狙う。研究者は(ハニーポットで捕捉した)GoBruteforcerが、「myuser」や「appuser」といった一般的な運用ユーザー名に加え、「123321」や「testing」といったよくあるパスワードを使用しているのを観測した。
「攻撃でこれらの名前が使われるのは偶然ではない。多くは長年にわたり、データベースのチュートリアル、ベンダーのドキュメント、コミュニティのQ&Aで便利な例として流通しており、その多くが本番環境にコピーされてきた」とブログにはある。「大規模言語モデル(LLM)は、同じ公開ドキュメントやサンプルコードで学習している。そのため、appuserやmyuserのような人気のデフォルトユーザー名を含む同じ設定サンプルをしばしば再現するのは驚くことではない」
例として研究者は、2つの著名なLLMにDockerでMySQLインスタンスを作成するよう依頼したところ、どちらも「appuser」と「muyser」というユーザー名を含む、ほぼ同一のコードを生成した。
Check Pointはまた、標的に応じて認証情報セットを調整するGoBruteforcerキャンペーンも観測しており、最近の攻撃では一部のユーザー名とパスワードが暗号資産をテーマにしたものだったという。
GoBruteforcerに関する防御側の要点
Check Point Researchの研究者Alexey Bukhteyev氏はメールでDark Readingに対し、実際にはこのキャンペーンで侵害されがちなサーバーは、「小規模で外部に公開された展開(例:中小企業のWebサイト、コミュニティ/ゲームサーバー、小規模プロジェクトのインフラ)で、MySQLやPostgreSQLのようなサービスがインターネットから到達可能で、弱い認証情報で保護されているもの」だと述べている。
「当社の評価では、中小企業、スタートアップ、個人運用者は、サービスを迅速かつ安価にオンライン化するために、展開用スニペットを『そのまま』コピペしがちであり、今回のようなパスワードスプレー攻撃キャンペーンへの露出が増える可能性が高い」とBukhteyev氏は言う。「とはいえ、大規模組織も無縁ではない。企業はしばしばより強固な統制(セグメンテーション、制限された管理パネル、集中型IAM、監視)を備えているため、これらのサービスを直接露出させる可能性は低いかもしれない。しかし同じリスクは、開発/テスト環境、短命なクラウドインスタンス、または設定不備のPoC(概念実証)展開で依然として現れ得る」
Check Pointのブログ投稿には侵害指標(IoC)が含まれているが、同社によれば、GoBruterforcerがもたらす問題は、より良いセキュリティ衛生によって対処すべきものだという。基本的なレベルでは、強固なユーザー名とパスワードを確実に設定することを意味するかもしれない。しかし、十分な保護にはほぼ確実にさらなる作業が必要になる。
「生成AIがサーバー展開の障壁をさらに下げるにつれ、安全でないデフォルト設定のリスクは増大する可能性が高い」とCheck Pointは述べた。「この種の脅威に対処するには、検知とテイクダウンの取り組みだけでなく、安全な設定プラクティス、認証情報の衛生、そして継続的な露出管理への改めての注力が必要だ」
翻訳元: https://www.darkreading.com/threat-intelligence/gobruteforcer-botnet-targets-50k-plus-linux-servers
