解析者: Mohammed Malubay   
 別名:

a variant of Linux/CoinMiner.AV potentially unwanted application(NOD32);

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、実行後、自身を削除します。

  詳細

ファイルサイズ 4,338,432 bytes
タイプ ELF
メモリ常駐 はい
発見日 2021年4月1日
ペイロード 情報収集

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • /tmp/.{random characters}/[kthreaddi]
  • /tmp/.{random characters}/config.json

ワームは、以下のプロセスを追加します。

  • [kthreaddi]

ワームは、以下のフォルダを作成します。

  • /tmp/.{random characters}

ワームは、実行後、自身を削除します。

プロセスの終了

ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • apaceha
  • apachiii
  • cpuset
  • crond64
  • cryptonight
  • devtool
  • devtools
  • haveged
  • irqbalanc1
  • jawa
  • kdevtmpfsi
  • kinsing
  • ksoftirqds
  • kthrotlds
  • kworker34
  • kworkerds
  • linux32
  • Loopback
  • miner-cpu
  • miner-notls
  • miner
  • minerd
  • minergate
  • mixnerdx
  • monerohash
  • mstxmr
  • nanoWatch
  • netdns
  • nginxk
  • nqscheduler
  • nullcrew
  • performedl
  • phpguard
  • phpupdate
  • pnscan
  • pythnof
  • redis2
  • solrd
  • sourplum
  • stratum
  • suppoie
  • sustse
  • sustse3
  • svcguard
  • svcupdate
  • svcupdates
  • sysguard
  • sysstats
  • systemctI
  • systemten
  • systemxlv
  • sysupdate
  • vmlinuz
  • voltuned
  • watchbog
  • watchd0g
  • watchdogs
  • xmr-stak

その他

ワームは、以下を実行します。

  • If the deployment of the coinminer is successful, it would proceed to delete the created folder and its contents ([kthreaddi] and config.json).
  • It uses the following default details on its coin mining routine (from config.json):
    • Algo: rx/0
    • Url: xmr-eu1.nanopool.org:14444
    • User: {BLOCKED}PrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX17ZeofwPwC6fXNxPZfGjNEChXttwWE3EGUEa
    • Password: x
  • If exploitation is successful, connects to the following URL to download and execute a malicious file:
    • http://{BLOCKED}.{BLOCKED}.227.21
  • It may use the following exploits to aid its propagation:
    • XXL-JOB unauthorized access
    • WebLogic Unauthorized Access (CVE-2020-14882)
    • ThinkPhp5Rce
    • Hadoop unauthorized access
    • Jupyter unauthorized access
    • Nexus unauthorized access
    • Tomcat unauthorized access
    • WordPress unauthorized access
    • Jenkins RCE
    • CVE-2017-11610
    • CVE-2019-10758
    • CVE-2020-16846
    • CVE-2021-3129
  • It scans the following ports to be used in exploitation and propagation:
    • 80
    • 6379
    • 7001
    • 8080
    • 8081
    • 8088
    • 8090
    • 8888
    • 8983
    • 9001
    • 9999
  • It uses the following credentials to bruteforce a system:
    • Username:
      • admin1234
      • admin@123
      • Admin@123
      • admin
      • Admin123
      • mfgproadmin
      • root
      • test
      • user
      • tomcat
    • Password:
      • 1q2e3e4r
      • 12345678
      • 123456
      • Admin123
      • P@ssw0rd
      • admin123
      • password
      • admin
      • tomcat
      • root
      • test
      • user
      • secret
      • tomcat123
      • oracle
  • It tries to bruteforce the following systems:
    • Wordpress
    • Tomcat
    • Nexus
    • Jupyter
    • Jenkins

<補足>
その他

ワームは、以下を実行します。

  • 暗号資産(仮想通貨)採掘ツール(コインマイナー)の展開が完了すると、作成されたフォルダおよびその内容 ([kthreaddi] および config.json) を削除します。
  • マイニング活動では、config.jsonから取得した以下の既定の詳細が使用されます。
    • アルゴリズム:rx/0
    • Url:xmr-eu1.nanopool.org:14444
    • ユーザ:{BLOCKED}PrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX17ZeofwPwC6fXNxPZfGjNEChXttwWE3EGUEa
    • パスワード:x
  • 脆弱性の悪用により以下のURLに接続し、不正ファイルをダウンロードして実行します。
    • http://{BLOCKED}.{BLOCKED}.227.21
  • 自身の拡散活動のために、以下の脆弱性を突く可能性があります。
    • XXL-JOBへの不正アクセス
    • WebLogicへの不正アクセス (CVE-2020-14882)
    • ThinkPhp 5におけるリモートコード実行(RCE)
    • Hadoopへの不正アクセス
    • Jupyterへの不正アクセス
    • Nexusへの不正アクセス
    • Tomcatへの不正アクセス
    • WordPressへの不正アクセス
    • Jenkinsにおけるリモートコード実行
    • CVE-2017-11610
    • CVE-2019-10758
    • CVE-2020-16846
    • CVE-2021-3129
  • 脆弱性の悪用および拡散活動に用いるために、以下のポートをスキャンします。
    • 80
    • 6379
    • 7001
    • 8080
    • 8081
    • 8088
    • 8090
    • 8888
    • 8983
    • 9001
    • 9999
  • 以下の認証情報を使用してシステムに対する辞書攻撃を実行します。
    • ユーザ名:
      • admin1234
      • admin@123
      • Admin@123
      • admin
      • Admin123
      • mfgproadmin
      • root
      • test
      • user
      • tomcat
    • パスワード:
      • 1q2e3e4r
      • 12345678
      • 123456
      • Admin123
      • P@ssw0rd
      • admin123
      • password
      • admin
      • tomcat
      • root
      • test
      • user
      • secret
      • tomcat123
      • oracle
  • 以下のシステムに対して辞書攻撃を試行します。
    • Wordpress
    • Tomcat
    • Nexus
    • Jupyter
    • Jenkins

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 16.634.06
初回 VSAPI パターンリリース日 2021年4月3日
VSAPI OPR パターンバージョン 16.635.00
VSAPI OPR パターンリリース日 2021年4月4日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

  • Troj.ELF.TRX.XXELFC1DFF004

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Worm.Linux.MALXMR.PUWELX」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください