記事本文(要約)
Docker APIの設定ミスを利用した新たなマルウェアキャンペーンが発見され、これによりDockerインスタンスが仮想通貨採掘ボットネットに変えられています。この攻撃はDero通貨の採掘を目的としており、マルウェアは他の公開されたDockerインスタンスに拡散するワームのような機能を持っています。Kasperskyによると、不正に公開されたDocker APIを利用してコンテナ化されたインフラにアクセスし、このアクセスを悪用して不正な暗号化採掘ネットワークを構築しています。
攻撃は「nginx」という名称の伝播マルウェアと「cloud」というDero暗号通貨マイナーで構成され、どちらもGolangで開発されています。伝播マルウェアはDocker APIを持つ脆弱なインスタンスを探し出し、不正なコンテナを作成することで他のネットワークへの感染を広げる機能を持っています。また、Ubuntuベースの実行中のコンテナにも感染することが確認されています。
さらに、Kasperskyは、この活動が2023年3月にCrowdStrikeが報告したDeroマイニングキャンペーンと関連していると評価しています。このキャンペーンは、C2サーバーを経由せずに広がることから、インターネットに不正に公開されたDocker APIを持つコンテナ化環境が標的になり得ることを示しています。
同時に、AhnLabセキュリティインテリジェンスセンターはPyBitmessageプロトコルを使用してPowerShellスクリプトを実行するMoneroマイナーと新しいバックドアの展開を含むキャンペーンを報告しており、これが人気ソフトウェアのクラック版として偽装される可能性があると警告しています。ユーザーは信頼できないソースからのファイルダウンロードを避けるべきです。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 27 May 2025 21:53:00 +0530
Original URL: https://thehackernews.com/2025/05/new-self-spreading-malware-infects.html
詳細な技術情報
以下に、この文章で説明されているセキュリティの詳細を、日本語で分かりやすくまとめました。
CVE番号
具体的なCVE番号は記載されていませんが、Docker APIの不適切な公開に関連した以前から知られている脆弱性に起因する可能性が高いです。
脆弱性の仕組み
不適切に公開されたDocker APIは、認証が不十分なまま外部からアクセス可能となり、その結果、悪意のある攻撃者がアクセス権を取得し、コンテナ環境を操作できる状況が生じています。この脆弱性は、通常のセキュリティ設定や認証が適用されていないことで発生し、外部からの制御を許してしまいます。
攻撃手法
- 攻撃者はまず、インターネット上で公開されているDocker APIを探索します。
- APIが開放されたDockerインスタンスを見つけると、これを悪用してコンテナを作成・操作します。
- 悪意のあるコンテナが設定されると、この環境でDeroの暗号通貨マイニングが行われます。
- 同時に、このマルウェアは他の公開されているDockerインスタンスへ自身を拡散する能力を持っています。
- マルウェアは「nginx」と「cloud」の2つのコンポーネントで構成され、それを用いて感染を広げます。
潜在的な影響
- コンテナのリソースがマイニング活動によって消費され、パフォーマンスが低下します。
- 感染が広がり、ネットワーク全体のリソースを不正に使用される可能性があります。
- 攻撃の範囲が拡大することで、他のネットワークやシステムにも影響が及ぶ可能性があります。
推奨される対策
- Docker APIの設定見直し: Docker APIを安全に構成し、外部からの無制限なアクセスを防ぎます。例えば、適切なファイアウォールルールを設定し、DockerホストのAPIアクセスを制限します。
- 認証とアクセス制御の強化: APIアクセスには強力な認証とアクセス制御を導入し、不正アクセスを防止します。
- セキュリティパッチの適用: Dockerや関連するコンポーネントの最新のセキュリティパッチを適用して、既知の脆弱性を修正します。
- ネットワーク監視とログレビュー: 不審な活動や通信を検出するために、ネットワークトラフィックの監視とシステムログを定期的に確認します。
- 教育と意識向上: ユーザーと管理者に対して、セキュリティ意識を高めるための教育やトレーニングを実施し、未知のソースからのソフトウェアダウンロードを避けるよう指導します。
