セキュリティ研究者は、さまざまな手法を用いて潜伏しながら、暗号資産マイニングとプロキシジャッキングで収益を得ることを目的とした、新たな金銭目的のサイバー脅威キャンペーンを発見しました。
LabratキャンペーンはSysdigのチームによって発見され、脅威アクターが旧来のGitLabリモートコード実行の脆弱性CVE-2021-22205を介して、標的のコンテナを侵害する様子が観測されました。
最終的な目的は、暗号資産マイニングとプロキシジャッキングによって金銭を得ることです。後者は、脅威アクターが侵害したシステムをプロキシネットワークに貸し出す攻撃を指します。
この収益源を維持するため、脅威グループは研究者やネットワーク防御側から身を隠すべく、極端な手段にまで踏み込んでいるとSysdigは主張しました。
「攻撃者がマルウェアとしてスクリプトを利用するのは一般的です。作成が容易だからです。しかし、この攻撃者はGoと.NETで書かれた、検知されにくいコンパイル済みバイナリを使用することを選び、より効果的に隠れることができました」と同社は説明しました。
「さらに攻撃者は、正規のサービスであるTryCloudFlareを悪用して、C2ネットワークを難読化しました」
ステルス性の高い暗号資産攻撃について詳しく読む:Satacomマルウェアキャンペーン、ステルスなブラウザ拡張機能を介して暗号資産を窃取
さらにSysdigによれば、攻撃者は検知を回避するためにバイナリを継続的に更新しています。
永続化を維持するため、Labratの攻撃者はGlobal Socket(GSocket)として知られる正規のオープンソースツールを使用します。
「Netcatと同様に、GSocketには正当な用途がありますが、もちろん攻撃者にも利用され得ます」とSysdigは記しています。
「Netcatとは異なり、GSocketはカスタムのリレーまたはプロキシネットワーク、暗号化、TORの利用といった機能を提供し、ステルス性の高いC2通信に非常に有能なツールです。インストールの痕跡を消すため、LABRATの攻撃者はプロセスを隠そうとしました」
研究チームは、使用されているバックドアが侵害システムへのアクセスを提供することから、このキャンペーンは継続中であり、プロキシジャッキングと暗号資産マイニングを超える目的で設計されている可能性すらあると結論づけました。
GitLabがInfosecurityに送付した声明では、「CVE-2021-22205の影響を受けたユーザーは、組織のセキュリティインシデントおよび災害復旧プロセスに従い、侵害されたインスタンスを廃止し、最新の正常に動作するバックアップを新しいGitLabインスタンスに復元すべきです」と述べられています。
「この脆弱性は2021年以降パッチが適用されており、影響は脆弱なバージョンのまま利用し続けている顧客に及びます。当社はこの脆弱性に関するブログ投稿と、ユーザーが影響を受けたかどうかを判断する方法についてのフォーラム投稿を公開しました」
編集用画像クレジット:T. Schneider / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/proxyjacking-cryptomining-campaign/
