エクスプロイト&脆弱性
脆弱性「CVE-2023-22527」を突くクリプトジャック型攻撃の手口:暗号資産マイニングのエコシステムを分析
脆弱性「CVE-2023-22527」を突くクリプトジャック型攻撃について、標的システム内で拡散する手口も含めて解説します。感染した端末は、不正な暗号資産マイニングに利用されます。
- 重大な脆弱性「CVE-2023-22527」を突くクリプトジャック型攻撃が多発しています。被害に遭ったシステムは、不正な暗号資産マイニングのネットワークに取り込まれ、利用されます。
- 本攻撃の実行者は、シェルスクリプトや暗号資産マイナー「XMRig」を展開し、それをSSHで繋がるエンドポイントにも拡散します。また、競合する暗号資産マイニングのプロセスを停止し、cronジョブによって永続化を図ります。
- 対策として、企業や組織ではConfluenceのインスタンスを最新版にアップデートし、システム保護ツールやセキュリティ・ベストプラクティスを導入することを推奨します。
2024年1月16日にソフトウェア企業「Atlassian」は、脆弱性「CVE-2023-22527」に関するセキュリティ勧告を公表しました。本脆弱性は高い重大性を持つものと評価され(スコア10)、コラボレーション・ドキュメンテーション用プラットフォーム「Atlassian Confluence」のエンタープライズ向けデプロイメントである「Confluence Data Center」や「Confluence Server」に影響を及ぼします。Atlassian Confluenceは、企業や組織でのコンテンツ作成や共有、共同作業などに使用されています。
トレンドマイクロは前回、脆弱性「CVE-2023-22527」の技術的概要や、攻撃者による不正利用の可能性について報告しました。今回は、当該の脆弱性が実際にクリプトジャック型攻撃(標的端末を乗っ取って暗号資産マイニングに利用する活動)でどのように利用されているかについて、技術的視点も交えて解説します。
技術分析
攻撃者は、古いバージョンの「Confluence Data Center and Server」に潜む脆弱性「CVE-2023-22527」を突いて「テンプレート・インジェクション」の手口を行使し、未認証のままリモートコード実行(RCE:Remote Code Execution)に及びます。
トレンドマイクロでは、本脆弱性が実際に暗号資産マイニングの目的で不正利用されていることを確認しました。特に、2024年6月中旬から下旬にかけて、不正利用の件数が大幅に増加しました。
調査の結果、不正なスクリプトを介して脆弱性「CVE-2023-22527」を突こうとする3つの攻撃グループが確認されました。第1のグループは、ELFファイルのペイロードを利用し、暗号資産マイナー「XMRig」を標的環境内で起動します(図4)。
第1グループによる攻撃の流れを、下図に示します。
第2の攻撃グループは、図6の通り、通信プロトコル「SSH(Secure Shell)」によってアクセス可能な標的側の全エンドポイントに不正なシェルスクリプトを配備し、マイニング活動を実行します。図7の通り、当該スクリプトはC&Cサーバからダウンロードし、コマンド「bash」に渡す形でメモリから直接起動します。
以降、本シェルスクリプトの動作について解説します。
始めに本スクリプトは、既知の暗号資産マイニングに相当するプロセスや、ディレクトリ「*/tmp/*」から起動された全プロセスを停止します。
次に、既存の全cronジョブを削除した上で、コマンドコントロール(C&C:Command and Control)サーバとの接続をチェックするための新たなcronジョブを追加します。この追加ジョブは、5分毎のスケジュールで起動するように設定します。
関数「der」は、Alibaba Cloud Shieldを含むセキュリティサービスのアンインストールや、Alibaba Cloud Sheildに紐づくIPアドレスのブロック操作を実行します。下図のelif分岐制御は、Tencent Cloud mirrorのアンインストール処理に関与するものです。
また、下図の関数「localgo」は、被害ユーザのbash履歴やSSH設定、ホスト情報(hosts)を参照し、現在稼働している端末のIPアドレスや全ユーザ一覧、キー情報などを入手します。これらの情報は、後にSSH経由で他のリモートシステムから暗号資産マイニングを行うために使用されます。
上述の情報を入手した後、攻撃者はSSH接続を利用し、他の端末でも不正な暗号資産マイニングが自動起動するように、設定を行います。
ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=3 -i $key $user@$host -p $sshp "command”
oStrictHostKeyChecking=no: Automatically accepts the host key without host verification.(訳:ホスト検証を行うことなく、自動でホスト鍵を受け入れる)
oBatchMode=yes: Disables interactive password prompts.(訳:対話型でのパスワード確認を無効化)
oConnectTimeout=3: Sets a 3-second timeout for the connection attempt.(訳:接続のタイムアウトを「3秒」に設定)
下図の関数「cron」では、サーバへの接続を維持するために、複数のcronジョブをさまざまな名前(例:whoami、nginx、apache)でさまざまな場所(例:init.d、cron.hourly、cron.d)に登録します。
次に攻撃者は、クラウド監視サービスやセキュリティサービスが停止済みまたは削除済みであることをチェックします。続いて、脆弱性「CVE-2023-22527」を突く際のエントリポイントとして用いたプロセスを停止した上で、暗号資産マイナー「XMRig」をインストールします。
マイニング活動を始めるにあたり、攻撃者は別のスクリプト「solr.sh」を呼び出します。これにより、前回のスクリプトには含まれていなかったセキュリティツールを停止します。
最終段階の「rnv2ymcl」では、ログやbash履歴を削除し、活動の痕跡を消去します。
なお、本調査で発見されたJSONファイルには、下図のウォレット情報が含まれていました。
まとめと推奨事項
脆弱性「CVE-2023-22527」を突く攻撃は依然として活発であり、世界各地の企業や組織に大きなリスクをもたらしていると考えられます。「Confluence Data Center and Server」を利用中の企業や組織では、本脆弱性のリスクや脅威を最小化するため、できるだけ早く、有効な最新バージョンにアップデートすることを推奨します。
また、脆弱性の不正利用を防ぐための一般的な対策として、下記のベストプラクティスが挙げられます。
パッチ管理:脆弱性の不正利用を防止する上では、ソフトウェア、オペレーティングシステム、アプリケーションのアップデートやパッチ適用を定期的に実施することが、特に重要です。
ネットワーク分割:重要度の高いネットワークを他から切り離す(セグメンテーション)ことで、脆弱性に絡む攻撃の影響を狭めることが可能です。
定期的なセキュリティ監査:セキュリティ監査や脆弱性検査を実施することで、インフラに潜む弱点を早期に発見し、攻撃者に狙われる前に対策を打つことが可能となります。
インシデント対応計画:企業や組織では、インシデント対応計画を作成、テスト、維持管理することで、セキュリティ侵害や脆弱性の不正利用に対しても、迅速かつ的確に対処できるようになります。
トレンドマイクロのソリューション
「Trend Vision One™」のような侵入防止システムの利用、ネットワーク・ベースでのアクセス制御、脆弱性の定期スキャンにより、セキュリティを一層強化することが可能です。
Trend Vision One™のハンティング・クエリ
Trend Vision Oneの脅威ハンティングに有用な可能性のあるクエリとして、下記が挙げられます。
SSHによる水平移動・内部活動を不審フラグに基づいて検知
eventSubId: 2 AND processCmd:ssh AND processCmd:oStrictHostKeyChecking AND processCmd:oBatchMode
不正なechoアップデートやcron設定の追加を検知
eventSubId: 2 AND (processCmd:cron OR objectCmd:cron) AND (processCmd:echo OR objectCmd:echo)
侵入の痕跡(IoC:Indicators of Compromise)
侵入の痕跡(IoC)はこちらで確認してください。
MITRE ATT&CK Techniques
MITRE ATT&CK Tactics and Techniquesはこちらで確認してください。
参考記事:
Cryptojacking via CVE-2023-22527: Dissecting a Full-Scale Cryptomining Ecosystem
By: Abdelrahman Esmail
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research