1,000を超える企業が感染!仮想通貨モネロのマイニングマルウェアの手法

1,000を超える企業が感染!仮想通貨モネロのマイニングマルウェアの手法

1,000を超える企業が感染!仮想通貨モネロのマイニングマルウェアの手法

今月初めにクラウドセキュリティ会社「レッドカナリア(Red Canary)」によって発見されたハッカーグループ「ブルーモッキンバード(Blue Mockingbird)」が、仮想通貨(暗号資産)モネロのマイニングマルウェアを感染させていることが分かった。

レッドカナリアの調査によると、ブルーモッキンバードは2019年12月から活動しているとみられ現在までに少なくとも1,000件の感染が確認されているという。

レッドカナリアの調査で明らかになったハッキングの手口

研究者によるとブルーモッキンバードは、ユーザーインターフェース(UI)コンポーネントにTelerikフレームワークを使用するASP.NETアプリを実行している公開サーバーを攻撃し、以下の手順でマルウェアを感染させるという。

  1. CVE-2019-18935脆弱性を悪用し、攻撃対象のサーバーにWebシェルを仕掛けることで管理者レベルのアクセス権を取得し、サーバー設定を変更する
  2. システムへの完全なアクセス権を取得すると、モネロ(XMR)用のマイニングアプリであるXMRRigをインストールする
  3. 一般に公開されているIISサーバーが会社の内部ネットワークに接続されている場合、グループは安全性の低いRDP(リモートデスクトッププロトコル)またはSMB(サーバーメッセージブロック)接続を介して内部に拡散する。

レッドカナリアの広報担当者は、完全には把握することは出来ないが限られた可視性からこれまでに少なくとも1,000件の感染が確認されたとして次のように述べた。

「他のセキュリティ企業と同様に、脅威の展望に対する可視性は限られており、この脅威の全貌を正確に知る方法はありません。」

「特に、この脅威は、エンドポイントを監視している組織のごく一部に影響を与えています。しかし、それらの組織内で、短時間におよそ1,000の感染が確認されました。」

レッドカナリアは、被害を受ける企業の数ははるかに多くなる可能性があり、安全であると信じている企業でさえ攻撃の危険にさらされているという。

容赦なく攻撃され続けるTelerik UIの脆弱性

多くの企業や開発者は、自社のTelerikコンポーネントのバージョンが古いことや、Telerik UIコンポーネントが自社のアプリケーションの一部であるかどうかさえ知らない場合があり攻撃にさらしている可能性がある。

脆弱性の詳細が公開されて以来、過去1年間容赦なく攻撃され、悪用されてきたという。

アメリカ国防総省の情報機関である米国国家安全保障局(NSA)や、サイバーセキュリティを主導する政府機関であるオーストラリアサイバーセキュリティセンター (ACSC) も、最も悪用された脆弱性の1つとしてTelerik UI CVE-2019-18935の脆弱性を挙げている。

レッドカナリアは多くの企業や組織は脆弱なアプリを更新することができない場合があり、ファイアウォールレベルで確実にブロックする必要があるとし、次のようにコメントした。

「いつものように、このような情報を公開する主な目的は、セキュリティチームが脅威に対して使用される可能性のある脅威手法の検出戦​​略を開発するのを支援することです。このように、セキュリティが物事を検出する能力を評価することが重要であると考えています。」