記事本文(要約)
サイバーセキュリティ研究者は、Docker環境を標的とする未公開の手法を使ったマルウェアキャンペーンを詳細に報告しました。このキャンペーンでは、従来のマイニングソフトウェアXMRigではなく、新しいWeb3サービス「Teneo」を利用します。Teneoは、分散型のインフラネットワークで、ユーザーが公共のSNSデータを収集し、報酬を獲得できる仕組みです。
マルウェアはDocker Hubから「kazutod/tene:ten」というコンテナイメージをダウンロードし、WebSocket経由で繋がり、Teneoポイントを得るために通信を行いますが、実際のデータ収集はしません。Dockerをターゲットにしたこの手法は、未使用のインターネットリソースを金銭的に利用する「プロキシジャッキング」などとも類似しています。
また、Fortinet FortiGuard Labsは、新たなボットネット「RustoBot」がTOTOLINK(CVE-2022-26210、CVE-2022-26187)やDrayTek(CVE-2024-12987)のデバイスを悪用してDDoS攻撃を行っていると発表しました。この攻撃は日本、台湾、ベトナム、メキシコの技術セクターを主に狙っています。このようなIoTデバイスの保護強化が必要だと指摘されています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 22 Apr 2025 22:16:00 +0530
Original URL: https://thehackernews.com/2025/04/docker-malware-exploits-teneo-web3-node.html
詳細な技術情報
- CVE番号
- 記載された文章に直接関与するCVE番号は言及されていません。ただし、関連情報として、CVE-2022-26210、CVE-2022-26187、CVE-2024-12987が他の文脈で言及されています。
- 脆弱性の仕組み
- このマルウェアキャンペーンでは、Docker環境をターゲットにしています。具体的には、不正に設定されたDockerインスタンスに対し、Docker Hubからローカルにコンテナイメージ「kazutod/tene:ten」をダウンロードし、実行する状況を悪用しています。このイメージは埋め込まれたPythonスクリプトを実行するよう設計されており、そのスクリプトがTeneoというWeb3サービスに接続します。
- 攻撃手法
- 攻撃は、以下の手順で行われるようです:
- 1. 攻撃者がDocker Hubから不正なコンテナイメージをダウンロードさせる。
- 2. このコンテナイメージ内のスクリプトが実行され、TeneoのWebSocketに接続する。
- 3. スクリプトが定期的にkeep-alive pingを送ることで、Teneoのリワードシステムを悪用する。
- 攻撃は、以下の手順で行われるようです:
- 潜在的な影響
- コンピューティングリソースの不正利用:攻撃者がターゲットのシステム資源を無断で使用し、Teneo Pointsを獲得します。
- システムのパフォーマンス低下や運用コストの増加が発生する可能性があります。
- 推奨される対策
- 1. Docker環境のセキュリティ強化:適切な設定とアクセス制御を行い、Dockerインスタンスが不正に利用されないようにする。
- 2. コンテナイメージの信頼性確認:公式および信頼されたリポジトリからのみコンテナイメージを取得する。
- 3. 監視と検出:異常なネットワークアクティビティや無効なコンテナ実行を定期的に監視する。
- 4. セキュリティパッチの適用:デバイスとソフトウェアの最新のセキュリティパッチを適用し、既知の脆弱性を修正する。
