音声ブラウザ対応ページへコンテンツエリアへログイン
金融&IT業界の情報サイト
 
 


 
【IT業界ニュース】 >> 記事詳細
< 前の記事へ次の記事へ >

2019/01/23

【パロアルトネットワークス】【Unit 42 ブログ アップデート】クラウドセキュリティ製品をアンインストールする初めてのマルウェア

 | by:ウェブ管理者
本ブログは米国で2019年01月17日に公開されたUnit 42ブログ「Malware Used by "Rocke" Group Evolves to Evade Detection by Cloud Security Products - Unit42」https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/の日本語翻訳です。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、近頃、サイバー攻撃者グループ「Rocke」が使用する、Linuxを使った仮想通貨マイニング マルウェアの新しいサンプルを確認し、調査を行いました。このマルウェアファミリーは、サイバー犯罪グループ「Iron」によって開発されたと推測され、2018年9月に弊社が報じたXbashマルウェアhttps://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windowsとも関連しています。Rockeグループの存在は、元々2018年8月にTalosにより明らかにされ、その驚くべき振る舞いの多くは、Talosのブログ投稿(英語)https://blog.talosintelligence.com/2018/08/rocke-champion-of-monero-miners.htmlで公開されました。本レポートで説明するサンプルは2018年10月に収集されたもので、それ以降、彼らが使用したコマンド アンド コントロール(C2)サーバーは停止しています。

Unit 42の分析によると、Rockeグループが使用するこれらのサンプルには新しいコードが採用されており、侵害されたLinuxサーバーから、5種類のクラウド セキュリティ保護および監視製品をアンインストールすることがわかりました。これらの攻撃では、そのセキュリティ製品自体が侵害されるわけではありません。この攻撃では、まずホストに対する完全な管理制御権を得て乗っ取り、正規の管理者が行う手法と同様に、セキュリティ製品をアンインストールします。

アンインストールの対象となる製品は、Tencent CloudおよびAlibaba Cloud (Aliyun)が開発した製品です。これらの企業は、グローバルにビジネスを拡大している、中国を代表する2つのクラウド プロバイダーです。弊社で把握している限り、これはクラウド セキュリティ製品を狙い、削除するという珍しい機能を持つ初めてのマルウェアファミリーです。
このマルウェアにより、ガートナーによって定義されたクラウド・ワークロード保護プラットフォーム市場にとっての新たな課題が浮き彫りになりました。

■技術的詳細
Rockeグループが使用する仮想通貨マイニングソフト

サイバー攻撃者であるRockeグループについては、2018年7月終わりに初めてCisco Talosが報告しました。このグループの最終的な目的は、侵害したLinuxマシンで仮想通貨Moneroをマイニングすることです。

被害端末にマルウェアを配信するため、RockeグループはApache Struts 2、Oracle WebLogic、Adobe ColdFusionの脆弱性を攻撃します。例えば、図1に示すように、LinuxでOracle WebLogicの脆弱性CVE-2017-10271を攻撃することにより、Linux端末が侵害され、0720.binというバックドアをダウンロードし、シェルをオープンします。

C2接続を確立すると、Rockeグループが使用するマルウェアは、「a7」という名前のシェル スクリプトを被害端末にダウンロードします。「a7」の振る舞いには以下が挙げられます。
・cronjobによる永続性の確立
・他の仮想通貨マイニング プロセスの強制終了
・iptablesルールを追加して他の仮想通貨マイニング マルウェアをブロック
・エージェントベースのクラウド セキュリティ製品のアンインストール
・UPXでパックされた仮想通貨マイニングソフトをblog[.]sydwzl[.]cnからダウンロードして実行
・LD_PRELOADトリックでオープン ソース ツール「libprocesshider」を使用することで、Linux psコマンドからプロセスを隠ぺい
・悪意のあるファイルの日時を調整


原文はこちら
https://www.paloaltonetworks.jp/company/in-the-news/2019/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products
15:07 | IT:一般
< 前の記事へ次の記事へ >一覧へ戻る
 

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害(間接的、直接的を問わず)について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

Copyright © 2010- GoodWay Inc. All rights reserved.

 
 
音声ブラウザ対応ページへコンテンツエリアへログイン