サイバーセキュリティ研究者たちは、既知のセキュリティ脆弱性や公開されたRedisサーバーを悪用し、IoTボットネット、住宅用プロキシ、暗号通貨マイニングインフラなど、さまざまな悪意ある活動に利用する複数のキャンペーンに注意を呼びかけています。
最初の攻撃は、CVE-2024-36401(CVSSスコア:9.8)という、OSGeo GeoServer GeoToolsに影響を与える重大なリモートコード実行の脆弱性の悪用に関するもので、これは昨年末からサイバー攻撃で武器化されています。
「犯罪者はこの脆弱性を利用して、正規のソフトウェア開発キット(SDK)や改造アプリを展開し、ネットワーク共有や住宅用プロキシを通じて不労所得を得ています」と、Palo Alto Networks Unit 42の研究者であるZhibin Zhang、Yiheng An、Chao Lei、Haozhe Zhangは技術レポートで述べています。
「この不労所得を生み出す手法は特にステルス性が高いです。これは、一部の正規アプリ開発者が従来の広告表示の代わりにSDKを選択する収益化戦略を模倣しています。これはユーザー体験を守り、アプリの継続利用を促進する善意の選択である場合もあります。」
このサイバーセキュリティ企業によると、攻撃者は少なくとも2025年3月初旬からインターネットに公開されたGeoServerインスタンスを調査し、アクセスを利用して攻撃者が管理するサーバーからカスタマイズされた実行ファイルを投下しています。ペイロードは、従来のHTTPウェブサーバーではなく、transfer.shを利用したファイル共有サーバーのプライベートインスタンス経由で配布されています。
このキャンペーンで使用されるアプリケーションは、最小限のリソース消費で目立たずに動作し、カスタムマルウェアを配布することなく被害者のインターネット帯域幅を密かに収益化することを目的としています。Dartで書かれたバイナリは、正規の不労所得サービスと連携するよう設計されており、帯域幅共有などの活動にデバイスリソースを密かに利用します。
この手法は関係するすべての当事者にとってウィンウィンの状況となります。アプリケーション開発者は機能を統合することで報酬を受け取り、サイバー犯罪者は一見無害なチャネルを使って未使用の帯域幅から利益を得ることができます。
「一度実行されると、この実行ファイルはバックグラウンドで密かに動作し、デバイスリソースを監視しつつ、可能な限り被害者の帯域幅を不正に共有します」とUnit 42は述べています。「これにより攻撃者に不労所得が生まれます。」
同社が収集したテレメトリデータによると、99か国で7,100以上のGeoServerインスタンスが公開されており、中国、アメリカ、ドイツ、イギリス、シンガポールが上位5か国を占めています。
「この継続中のキャンペーンは、攻撃者が侵害したシステムを収益化する方法の大きな進化を示しています」とUnit 42は述べています。「攻撃者の中核戦略は、積極的なリソース搾取よりもステルス性と持続性のある収益化に焦点を当てています。このアプローチは、容易に検出される手法よりも長期的かつ低プロファイルな収益獲得を重視しています。」
この発表は、Censysが大規模なIoTボットネットPolarEdgeを支えるインフラの詳細を明らかにしたタイミングと重なります。このボットネットは、エンタープライズ向けファイアウォールや、ルーター、IPカメラ、VoIP電話などの家庭用デバイスを既知のセキュリティ脆弱性を利用して組み込んでいます。その正確な目的は現在不明ですが、無差別な大規模スキャンには使われていないことは明らかです。
最初のアクセスは、Mbed TLSをベースにしたカスタムTLSバックドアを投下するために悪用され、暗号化されたコマンド&コントロール、ログのクリーンアップ、動的インフラ更新を可能にします。このバックドアは、通常、高い非標準ポートで展開されており、従来のネットワークスキャンや防御監視の範囲を回避するためと考えられます。
PolarEdgeは、オペレーショナルリレーボックス(ORB)ネットワークと一致する特徴を示しており、攻撃対象管理プラットフォームによると、このキャンペーンは2023年6月まで遡る可能性があり、今月時点で約40,000台のアクティブデバイスに達しています。感染の70%以上は、韓国、アメリカ、香港、スウェーデン、カナダに分布しています。
「ORBとは、脅威アクターのために追加の侵害や攻撃を実行するためにトラフィックを転送する侵害された出口ノードです」と、セキュリティ研究者のHimaja Motheramは述べています。「ORBが攻撃者にとって非常に価値があるのは、デバイスの本来の機能を乗っ取る必要がないことです。デバイスが通常通り動作し続ける間、バックグラウンドで静かにトラフィックを中継できるため、所有者やISPによる検出はほぼ不可能です。」
ここ数か月、DrayTek、TP-Link、Raisecom、Ciscoなどのベンダー製品の脆弱性が悪用され、Miraiボットネットの亜種gayfemboyを展開するために侵入されており、ターゲット範囲の拡大が示唆されています。
「gayfemboyキャンペーンは、ブラジル、メキシコ、アメリカ、ドイツ、フランス、スイス、イスラエル、ベトナムなど複数の国にまたがっています」とFortinetは述べています。「そのターゲットは、製造、技術、建設、メディア・通信など幅広い分野に及びます。」
Gayfemboyは、ARM、AArch64、MIPS R3000、PowerPC、Intel 80386など、さまざまなシステムアーキテクチャを標的にできます。主に以下の4つの機能を備えています。
- Monitor:スレッドやプロセスを監視し、永続化やサンドボックス回避技術を組み込みます
- Watchdog:UDPポート47272へのバインドを試みます
- Attacker:UDP、TCP、ICMPプロトコルを使ったDDoS攻撃を実行し、リモートサーバーに接続してコマンドを受信することでバックドアアクセスを可能にします
- Killer:サーバーからコマンドを受信した場合やサンドボックス操作を検知した場合に自らを終了します
「GayfemboyはMiraiから構造的要素を継承していますが、その複雑さと検出回避能力を高める顕著な改良を導入しています」とセキュリティ研究者のVincent Liは述べています。「この進化は、現代マルウェアの高度化を反映しており、積極的かつインテリジェンス主導の防御戦略の必要性を強調しています。」
これらの発見はまた、TA-NATALSTATUSと呼ばれる脅威アクターによるクリプトジャッキングキャンペーンとも重なっており、公開されたRedisサーバーを標的に暗号通貨マイナーを配布しています。
この攻撃は本質的に、ポート6379で認証されていないRedisサーバーをスキャンし、正規のCONFIG、SET、SAVEコマンドを発行して、シェルスクリプトを実行する悪意あるcronジョブを仕込むというものです。このスクリプトはSELinuxを無効化し、防御回避を行い、Redisポートへの外部接続をブロックして他の攻撃者による侵入経路の再利用を防ぎ、競合するマイニングプロセス(例:Kinsing)を終了させます。
また、masscanやpnscanなどのツールをインストールするスクリプトも展開され、「masscan –shard」などのコマンドでインターネット上の脆弱なRedisインスタンスをスキャンします。最後のステップでは、1時間ごとのcronジョブで永続化を設定し、マイニングプロセスを開始します。
サイバーセキュリティ企業CloudSEKによると、この活動はTrend Microが2020年4月に公開した攻撃キャンペーンの進化形であり、悪意あるプロセスを隠蔽し、ファイルのタイムスタンプを変更してフォレンジック分析を欺くルートキットのような新機能を備えています。
「psやtopなどのシステムバイナリをps.originalにリネームし、悪意あるラッパーに置き換えることで、自身のマルウェア(httpgd)を出力から除外しています。管理者が標準ツールでマイナーを探しても見つかりません」と研究者のAbhishek Mathewは述べています。「curlやwgetもcd1やwd1にリネームしています。これは、これらの一般的なツール名で開始される悪意あるダウンロードを監視するセキュリティ製品を回避するための、シンプルながら巧妙な手法です。」
翻訳元: https://thehackernews.com/2025/08/geoserver-exploits-polaredge-and.html