記事本文(要約)
サイバーセキュリティ研究者が、新しいLinux暗号通貨マイニングキャンペーン「RedisRaider」を警告しています。このキャンペーンでは、インターネット上の公開されたRedisサーバーを標的にしています。Datadog Security Labsによれば、このマルウェアはRedisの設定コマンドを使用し、脆弱なシステムに悪意のあるcronジョブを仕込むことによって、Goベースのペイロードを投入し、XMRigマイナーを展開します。さらに、マルウェアはRedisの設定とデータベース構成を悪用して、検出を最小限に抑えます。
また、Guardzは、Microsoft Entra IDのレガシー認証プロトコルを利用したアカウントのブルートフォース攻撃を公開しました。特に東欧とアジア太平洋地域からの攻撃が、管理者アカウントをターゲットにして集中して行われました。この攻撃では、BAV2ROPCプロトコルの設計上の欠陥を利用して、多要素認証を回避しました。
リスクを軽減するために、レガシー認証のブロック、BAV2ROPCの無効化、使用していない場合のExchange OnlineでのSMTP AUTHのオフが推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 20 May 2025 13:55:00 +0530
Original URL: https://thehackernews.com/2025/05/go-based-malware-deploys-xmrig-miner-on.html
詳細な技術情報
以下は、提示された文章に基づいた詳細なセキュリティ分析です。
CVE番号
本文に具体的なCVE番号は記載されていないため、文章の内容に関連する既知のCVEを特定することはできません。ただし、Redisの公開されているインスタンスや脆弱な認証プロトコルの悪用に関するCVEを検索することが推奨されます。
脆弱性の仕組み
- RedisRaiderの攻撃手法
- Redisサーバーに対する無許可アクセスを可能にする。
- 正当なRedisの設定コマンドを悪用して脆弱なシステムに悪意のあるcronジョブを実行。
- 攻撃は主に公開されたRedisサーバーに焦点を当て、これらのサーバーにXMRigマイナーを導入する。
- Microsoft Entra IDの脆弱性
- BAV2ROPCという古い認証プロトコルの仕様的な制限を悪用してアカウントをブルートフォース攻撃。
- 古いプロトコルに依存しているため、MFAや条件付きアクセスをバイパスすることが可能。
攻撃手法
- RedisRaiderによるLinux攻撃
- IPv4アドレス空間をランダムにスキャンし、公開されているRedisサーバーを特定。
- Linux上で動作しているインスタンスであることをINFOコマンドで確認。
- RedisのSETコマンドを利用し、cronジョブを注入。
- CONFIGコマンドを使用して作業ディレクトリを変更し、マルウェアを定期実行させる。
- Microsoft Entra IDへの攻撃
- BAV2ROPCを使用したブルートフォース攻撃。
- 東欧およびアジア太平洋地域から主に発生、管理者アカウントをターゲット。
- 自動化攻撃による短時間での高頻度アクセスを実施。
潜在的な影響
- RedisRaiderの影響:
- サーバーリソースを著しく消費し、システムのパフォーマンスを低下。
- XMRigマイナーによる暗号通貨(モネロ)の不正マイニング。
- マルウェアの拡散による広範な被害。
- Microsoft Entra IDの影響:
- 権限の高いアカウントの不正アクセス。
- ビジネスメールの漏洩および情報の不正使用。
- 組織全体のセキュリティリスクの増大。
推奨される対策
- Redisサーバーの防御策:
- Redisの配置に際しては、インターネットアクセスが不可の内網のみ設定。
- 必要な場合は、アクセス制限や認証機能を適切に設定。
- セキュリティアップデートとパッチを定期的に適用。
- Microsoft Entra IDの防御策:
- レガシー認証を条件付きアクセスポリシーで無効化。
- BAV2ROPCを無効にし、使用していない場合はSMTP AUTHも無効化。
- 多要素認証を有効にし、全ユーザーに対して強制的に実施。
