クラウド環境
RATを組み込むことで進化したLinuxを標的とするクリプトマイナー
トレンドマイクロは、「CHAOS Remote Administrative Tool」と名付けられた進化したRAT(リモート・アクセス・トロージャン)を組み込んだ暗号資産に対するマイニング攻撃を探知しました。
トレンドマイクロは、「CHAOS Remote Administrative Tool」と名付けられた進化したRAT(リモート・アクセス・トロージャン)を組み込んだ暗号資産に対するマイニング攻撃を探知しました。
トレンドマイクロでは、TeamTNTのような攻撃者によるLinuxマシンや特定のクラウドコンピューティング上のインスタンスを標的としたクリプトジャッキングについての記事を既に公開しています。解析の結果、脅威の主体が異なっていても、これらのルーチンや一連の流れは多くの点で類似していることが判明しました。具体的には、競合するマルウェアやセキュリティプロダクト、そして他のクラウド・ミドルウェアを初期段階において停止させようと試みます。これに続いて、永続化のためのルーチン及びペイロードが実行(ほとんどがMonero(XMR)クリプトマイナー)されます。また、より巧妙な攻撃も確認されており、これらの攻撃には「他のデバイスに拡散させるための機能」が追加されています。
2022年11月、トレンドマイクロは、オープンソースプロジェクトをベースにしたCHAOS Remote Administrative Tool(Trojan.Linux.CHAOSRAT)という脅威(進化したRATを組み込んでおり通常とは異なるルーチン)を探知しました。
なお、Kinsing等の競合するマルウェアの停止や暗号資産のマイニング性能に影響を与えるリソースの停止を含む従来のワークフローには変化がありません。
このマルウェアは、/etc/crontabファイルを変更することで永続性を実現しています。また、このUNIXタスクスケジューラは、Pastebinから10分ごとにダウンロードするように設定されています。
この後、追加のペイロード(XMRigマイナー、設定ファイル、競合するプロセスを停止するシェルスクリプト、そしてRAT)がダウンロードされます。
メインのダウンローダースクリプト及び追加のペイロードは、攻撃が常に拡散し続けるように異なる場所においてホストされています。そして、スクリプトを確認するとペイロードのダウンロードに使用されるメインサーバは、ロシアに存在する可能性が高いことを示しています。また、過去のwhoisデータによると、クラウド防弾ホスティングが用いられたことを示しています。これは、攻撃チームが従来使用していたオープンソースツールを用いたクラウドインフラストラクチャ、コンテナ、そしてLinux環境にフォーカスした手口です。
このC&C(コマンド&コントロール)サーバは、ペイロードを提供するためだけに使用されます。そして、Chaos RATは、別のC&Cサーバ(IPアドレスによる地理情報から香港に存在する可能性が高い)に接続します。実行時には、RATクライアントは認証のためにJSON Web Token (JWT)を使用し、C&Cサーバのアドレス及びデフォルトポートを介して接続します。
接続後、認証に成功すると、クライアントは/deviceコマンドを使用してC&Cサーバに対し、感染した機器の詳しい情報を送信します。
このRATはGoでコンパイルされたバイナリであり、以下の機能を持ちます。
- リバースシェルの実行
- ファイルのダウンロード
- ファイルのアップロード
- ファイルの削除
- スクリーンショットの取得
- ファイルエクスプローラへのアクセス
- OS情報の取得
- PCの再起動
- PCのシャットダウン
- URLを開く
トレンドマイクロが探知したマルウェアファミリーの特徴としては、アドレス及びアクセストークンがコンパイルフラグとして引き渡され、RATクライアント内部にハードコードされた後に、メインコードから変数内のあらゆるデータを置き換える点です。
まとめ
暗号資産マイニングマルウェアの感染経路にRATが組み込まれることは、比較的小さい問題であると一見捉えられるかもしれません。しかし、このツールが持つ関数の配置や、クラウドベースの攻撃者が現在も手口を進化させている点を鑑みると、組織及び個人が常にセキュリティに対し警戒を怠らないことが重要です。暗号資産マイニンググループに関する調査(クラウドベース)では、防御態勢を強化するために実施可能な複数の具体的な対策及びベストプラクティスを示しました。
Trend Micro Cloud One™ - Workload Securityは、「脆弱性を利用したエクスプロイト」、「マルウェア」、そして「不正な変更」からシステムを保護する強力なクラウドセキュリティです。ML(機械学習)や仮想パッチなどの技術を用いることにより、ワークロードを脅威から自動的に保護することができます。
IOC(痕跡情報)
IOC(痕跡情報)の全リストは、こちらをご覧ください。
MITRE ATT&CK Tactics and Techniques
MITRE ATT&CK Tactics and Techniquesはこちらをご覧ください。
参考記事
Linux Cryptocurrency Mining Attacks Enhanced via CHAOS RAT
By: David Fiser, Alfredo Oliveira
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)