コンテンツにスキップするには Enter キーを押してください

『DripDropper』ハッカー、自らのエクスプロイトにパッチを適用

投稿日 2025年8月19日

A wooden door slot lock, latch, or slot lock

出典:Studio urwah al bariqi / Shutterstock

攻撃者は、Apache ActiveMQに存在する約2年前の脆弱性を悪用し、Linuxサーバーを侵害して悪意のあるソフトウェアをインストールしています。その後、攻撃者は自らが初期アクセスに利用した同じセキュリティホールを密かに修正します。

この手法は、最初にどのようにシステムへ侵入したかを隠すと同時に、他の脅威アクターが同じ脆弱性を利用して侵入するのを防ぐ狙いもあります。

CVE-2023-46604を利用したLinuxサーバーへの攻撃

Red Canaryは、クラウドベースのLinux環境を監視する中でこのキャンペーンを発見し、侵入者が数十台のLinuxサーバーで探索コマンドや偵察活動を行っているのを観測しました。これらのサーバーはすべてCVE-2023-46604、すなわち最大深刻度のリモートコード実行バグに対して脆弱であり、このバグはApache Software Foundationが2023年10月に公表したApache ActiveMQメッセージブローカーのものです。

複数の脅威グループが、これまでに同じバグを利用してランサムウェアやその他のマルウェアを拡散しており、たとえばTellYouThePassHelloKittyRansomhub、およびKinsingなどが含まれます。

今回のキャンペーンでは、攻撃者はCVE-2023-46604を利用して脆弱なLinuxサーバーへの初期アクセスを獲得し、偵察コマンドを実行しましたが、その後、フォローアップ活動を行うサーバーはごく一部に絞られていました。攻撃者が使用したツールキットはホストごとに異なり、あるマシンではSliverフレームワーク(侵害されたシステムを完全にリモート制御できるインプラント)が導入され、他のホストではCloudflare Tunnelsが利用され、攻撃者に隠れた経路で継続的なアクセスを可能にしていました。

Red Canaryが分析したあるサーバーでは、攻撃者の手口がより詳細に明らかになりました。Sliverを導入した後、攻撃者はシステムのSSH設定を書き換え、rootユーザーでの直接ログインを許可しました。「この設定は、現代のLinuxディストリビューションでは通常デフォルトでrootログインをSSH経由で拒否するようになっています」とRed Canaryは述べています。この安全策を取り除くことで、侵入者は最高権限でログインできるようになったと同社は説明しています。

新たなマルウェアローダー

その後、攻撃者は新しいセッションを開き、Red Canaryが「DripDropper」と名付けた未知のローダーを取得しました。これは、ハードコードされたトークンを使って攻撃者が管理するDropboxアカウントと通信するためです。

Red Canaryによると、DripDropperは暗号化されたPyInstaller実行可能ELFバイナリであり、パスワード保護されているため自動サンドボックス解析に耐性があります。インストールされると、このツールは組み込みの認証トークンを使って攻撃者の管理下にあるDropboxアカウントに接続します。Red CanaryはDropboxアカウントとやり取りされる正確な情報を抽出できませんでしたが、多くの場合、この初回通信の後、DripDropperは侵害されたシステム上に2つの追加ファイルを生成していました。

これらファイルのうち1つは、設置されたシステムによって異なる動作を示しました。場合によってはプロセスを監視し、また別の場合にはDropboxに指示を求めていました。どのような動作であれ、攻撃者はこのファイルをサーバーのスケジュールタスクに追加することで、システム上で永続化するようにしていました。2つ目のファイルも同様にDropboxに指示を求めましたが、さらにSSH関連の設定を調整し、攻撃者に別のバックチャネルを提供していました。

「Discord、Telegram、Dropboxなどの公開プラットフォームをコマンド&コントロール通信に利用する手法は、周囲に溶け込む効果的なテクニックであり、CHIMNEYSWEEPMustang PandaWhisperGateなど、さまざまな攻撃者やマルウェアファミリーが利用しています」とRed Canaryは述べています。

痕跡の隠蔽

DripDropperと永続化メカニズムを展開した後、攻撃者はMavenの公式リポジトリからCVE-2023-46604のパッチを含む正規のJava Archive(JAR)ファイルをダウンロードしました。そして、元の脆弱なコンポーネントを削除し、パッチ済みバージョンに置き換えました。この操作により、攻撃者が侵入に使った「扉」を実質的に施錠し、他の誰も同じ手口で同じシステムを侵害できないようにしたのです。システムにパッチを適用することで、未パッチのActiveMQサーバーを探す自動スキャンにも引っかからなくなり、防御側が異常に気づく可能性も低減するとRed Canaryは述べています。

この手法は比較的珍しいものの、新しいものではありません。例えば最近、フランスの国家サイバーセキュリティ機関(ANSSI)は、中国系の初期アクセスブローカーが同じ手法を使い、侵入したシステムへのアクセスを保護しているのを確認したと報告しています。Red Canaryも「脆弱性にパッチを適用しても、攻撃者はすでに他の永続化メカニズムを確立しているため、彼らの活動に支障はありません」と指摘しています。

このキャンペーンは、組織が重要な脆弱性に対してタイムリーにパッチを適用する必要性を改めて示しています。特にLinuxサーバーのような基幹インフラの場合はなおさらです。その他のベストプラクティスとしては、適切な構成管理、最小権限原則の徹底、ネットワーク制限の実施による攻撃面の最小化などが挙げられると、ベンダーは述べています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/dripdropper-hackers-patch-own-exploit

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です