マルチライセンス割引
Computer Security ワームのような特徴を持つボットネット マルウェアが人気の Redis ストレージ ツールを狙う

ワームのような特徴を持つボットネット マルウェアが人気の Redis ストレージ ツールを狙う

Computer SecurityChanceまで
翻訳内容:
日本語
コンピューターボットネットワーム感染

正体不明のハッカー グループが、公的にアクセス可能な Redis デプロイメントを標的とした、ユニークで注目すべきマルウェアを使用した攻撃を開始しました。 Redis は、Amazon、Hulu、Tinder などの大手企業のデータ ストレージとしてよく選ばれています。このマルウェアの最も顕著な特徴はワームのような動作であり、研究者らによって強調されているように、ネットワークにアクセスした後、人間の介入なしにシステム間で自己増殖または複製することができます。

セキュリティ研究者は最近、「 P2Pinfect 」と呼ばれる懸念すべき種類のマルウェアに遭遇しました。他の脆弱な Redis デプロイメントを自律的に拡散して感染させるその驚くべき機能が彼らの注目を集めました。この自己伝播動作により、マルウェアがその範囲と影響を急速に拡大する可能性があるため、重大な懸念が生じます。広範な調査にもかかわらず、研究者らはこのボットネットのようなマルウェアの具体的なターゲットをまだ特定しておらず、その導入の背後にある目的は謎に包まれたままです。このような高度で自律的な脅威の潜在的な影響は、サイバーセキュリティ コミュニティに危険信号を提起しており、起こり得る攻撃から保護するためにさらなる分析と警戒が必要です。

パロアルトの Unit 42 はハッキング キャンペーンを分析し、7 月 19 日にリリースされた報告書では、マルウェアが CVE-2022-0543 を利用して Redis アプリケーションを乗っ取り、ボットネットに同化させていたことが明らかになりました。このボットネットは、ハッカーの制御下にある感染したコンピューターの集合で構成されています。同じ脆弱性は、2022 年にデバイスを Muhstik ボットネットに同化させるために以前にも悪用されましたが、Unit 42 の調査結果によると、最新のマルウェアである P2PInfect は別の悪意のあるネットワークに関連付けられているようであり、Muhstik とは関連していません。
この報告書は Unit 42 の調査結果の多くと一致しており、マルウェアが Rust プログラミング言語でコーディングされており、ボットネットに接続すると他のホストに感染しようとすることが明らかになりました。

ただし、2 つの注目すべき違いが発見されました。まず、研究者が分析したマルウェア サンプルは、初期アクセス ポイントとして CVE-2022-0543 を悪用していませんでした。次に、P2Pinfect は Windows と Linux の両方の Redis インスタンスをターゲットにしていました。彼らは、Rust プログラミング言語を使用することで、マルウェアが Windows と Linux の両方のプラットフォームで機能することを可能にする一方、アナリストによるコードの分析が困難になると指摘しました。マルウェアの目的と背後にいる人物の正体は依然として不明です。侵害されたシステムは「マイナー ファイル」をプルしますが、暗号化マイニング タスクは実行されないようです。この「マイナー」は、脅威アクターによる将来の仮想通貨マイニング配布のプレースホルダーとして機能する可能性があります。同様に、Unit 42 は P2PInfect の脅威ツールキット内で「マイナー」という単語のインスタンスを観察しましたが、暗号通貨マイニング操作の決定的な証拠は見つかりませんでした。

このマルウェアには 2 つの目的があります。まず、ハッカーは Redis サーバーを侵害しようとする他の攻撃者からサーバーを保護しながら、サーバーが正当に動作し続けることを保証し、所有者による検出を回避できます。感染すると、侵害されたサーバーはピアツーピア ボットネットの構成要素になります。この構成により、集中管理された Ccommand-and-Control (C2) サーバーを必要とせずに、すべてのボットネット ノード間のシームレスな通信が可能になります。研究者らは、署名付きメッセージをネットワーク経由で送信することでコマンドを展開すると提案しています。このマルウェアは、SSH ネットワーク通信プロトコルのユーザー、IP アドレス、アクセス キーのリストを収集することにより、感染を伝播する追加のホストをターゲットにします。新しいホストがアクセスを取得すると、マルウェアは侵害されたサーバーに最初に感染したときと同じように自身を複製します。これには、組み込みの HTTP サーバーから自身のコピーを取得し、引数としてノード リストを使用してそれを実行することが含まれます。これにより、他の脆弱なシステムにまでその範囲が拡大されます。

ワームのような特徴を持つボットネット マルウェアが人気の Redis ストレージ ツールを狙うスクリーンショット

computer botnet worm infection
読み込んでいます...