開発運用APIを悪用するクリプトジャッキングキャンペーン、GitHubの市販ツールを使用

Security

記事本文(要約)

サイバーセキュリティ研究者が新たなクリプトジャッキングキャンペーンを発見しました。これは、Docker、Gitea、ハシコープのConsulとNomadなどのDevOpsウェブサーバーを標的にし、暗号通貨を不正に採掘するものです。この活動は、公開されているNomadの誤った設定が攻撃ベクトルとして実際に利用された初の事例とされています。攻撃者はGitHubリポジトリから直接ツールをダウンロードし、追跡を困難にしています。また、Docker APIの誤設定や、Giteaの脆弱性(例:CVE-2020-14144)も利用されています。さらに、NomadサーバーのAPI誤設定を悪用し、GitHubからXMRigマイナーをダウンロードし実行するジョブを作成しています。この攻撃はAPIへのアクセスがリモートコード実行(RCE)に相当することを悪用しています。

同様に、Sysdigによると、Open WebUIを搭載したシステムの誤設定を利用して、LinuxとWindowsを狙ったマルウェアキャンペーンも発見されました。この方法で攻撃者はPythonスクリプトをアップロードし、暗号通貨マイナーを実行しています。この攻撃には不正な持続性を確保するための技術や、Linuxではプロセス隠蔽ライブラリ、Windowsでは情報窃取機能が含まれています。これらは、悪意のある活動の検知を回避するための手法です。両キャンペーンは、システムの誤配置が大きなセキュリティリスクとなることを示しています。

※この要約はChatGPTを使用して生成されました。

公開日: Mon, 02 Jun 2025 21:33:00 +0530

Original URL: https://thehackernews.com/2025/06/cryptojacking-campaign-exploits-devops.html

詳細な技術情報

この仮想通貨マイニングキャンペーンに関する脅威分析を以下に示します。

CVE番号と脆弱性

  1. Giteaの脆弱性: 公に公開されているGiteaインスタンスがリモートコード実行の脆弱性を持つことが指摘されており、具体的にはCVE-2020-14144が挙げられています。
  2. Open WebUIのミスコンフィギュレーション: これに関連する特定のCVE番号は指定されていませんが、インターネットに公開されているシステムのミスコンフィギュレーションが攻撃ベクトルとなっています。

脆弱性の仕組み

  • Docker APIミスコンフィギュレーション: DockerのAPIが誤って公開されることで、悪意のあるエンティティがコンテナを起動し、仮想通貨マイニングコードを実行できます。
  • Nomadの誤設定: NomadサーバーのAPIが適切に設定されておらず、サーバーや接続されたノードでリモートコードを実行できる可能性があります。
  • HashiCorp Consulの誤設定: サーバーやサービスに任意のコマンドを実行するための通路を提供します。

攻撃手法

  • オープンリポジトリの悪用: GitHubなどのオープンなリポジトリからツールをダウンロードし、責任の所在を曖昧にしつつ、そのツールを利用して実行。
  • リモートコードの実行: ミスコンフィギュレーションされたAPIを介してシステムにアクセスし、仮想通貨マイニングソフトウェア(例: XMRig)をダウンロードし、実行。
  • Pythonスクリプトのアップロード: Open WebUIを利用してPythonスクリプトをアップロードし、それをLLM(大規模言語モデル)用の拡張として実行。

潜在的な影響

  • コストの増大: 大量のCPUとRAMリソースを消費するため、クラウドサービス利用料が大幅に上昇する可能性があります。
  • セキュリティの脅威: マイニングを目的とした不正なエクスプロイトは、セキュリティの観点からも重大なリスクを含み、不正アクセスや情報漏洩の誘因となります。
  • 情報盗難: 特にWindowsシステムでは、ディスコードや仮想通貨ウォレットの資格情報が盗まれるリスクがあります。

推奨される対策

  1. ミスコンフィギュレーションの修正: Docker、Nomad、Consul、Gitea、Open WebUIといったシステムがインターネットに対して正しく設定されているかを確認、修正します。
  2. アップデートとパッチ適用: 各種ソフトウェアとサービスを常に最新の状態に保ち、既知の脆弱性を修正するためのパッチを迅速に適用します。
  3. 監視とログ: システムログやネットワークトラフィックを常時監視し、異常な活動を早期に発見できるようにします。
  4. アクセス制御の強化: ネットワークやAPIへのアクセス制御を強化し、権限のないエンティティからのアクセスを防ぎます。
  5. 教育と意識向上: システム管理者や開発者に対して、セキュリティに関する教育と認識を高めるためのトレーニングを提供します。