脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例

ASEC 分析チームは、脆弱なシステムをターゲットにした攻撃をモニタリングしている。本記事では、パッチされていない脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例を紹介する。

Atlassian 社の Confluence (コンフルエンス)は、代表的な協業型プラットフォームで、世界中の様々な企業が導入している。Confluence は Web ベースのプラットフォームで、プロジェクトの管理およびコラボレーションのようなサービスを、実質的に Confluence サーバー(もしくは Confluence データセンター)を通して提供している。多くの企業で導入されている有名なソリューションであるため、以前から継続的に脆弱な Confluence サーバーおよびデータセンターをターゲットにした脆弱性が発見されており、パッチが適用されていないシステムが攻撃対象になっている。

代表的な攻撃事例は CVE-2021-26084 と CVE-2022-26134 である。これらはリモートコード実行(RCE)における脆弱性であり、攻撃者は外部に公開されたシステムのうち、まだバージョンをアップデートしていない脆弱なシステムをターゲットに攻撃している。もし攻撃に成功した場合、Web シェルをインストールしたり、マルウェアをインストールしたりして、そのシステムに対する制御権を獲得することができる。

攻撃者はスキャニングを通して脆弱なシステムを確認することができ、それ以外にも SHODAN のようなインターネットに接続されているサーバーを探すことのできる検索エンジンを利用することもある。

今回は、Atlassian Confluence サーバーの脆弱性を利用してインストールされるコインマイナーマルウェアと同時に、攻撃者が制御権を維持するためにインストールした Web シェルマルウェアなどの様々な攻撃事例を取り扱う。

Godzilla WebShell 攻撃事例

Web シェル(WebShell)とは、Webサーバーにアップロードされ、ファイルの検索やシステムシェルコマンド等を実行できるようにするファイルである。攻撃対象のシステムに Web シェルがインストールされると、攻撃者は持続的に感染システムを制御することができる。CVE-2022-26134 脆弱性を発見した Volexity  社のブログによると、攻撃者は脆弱な Confluence サーバーに対する脆弱性攻撃を行った後、これを維持するために Web シェルをインストールすることが分かっている。実際に当社の ASD ログを見ても、パッチが適用されていない脆弱な Atlassian Confluence サーバー環境において、様々な Web シェルが生成されていることが確認できる。最近の攻撃に使用される Web シェルの大半は以下のような Godzilla JSP Web シェルである。

上記の JSP スクリプトの「pass」項目は、以下の図で攻撃者が指定した「Password」を意味しており、Web シェルの通信プロセスにおいて引数として使用される。「xc」項目は、攻撃者が指定する「Key」文字列に対する MD5 ハッシュ値(具体的には前半16文字)であり、パケットの暗号化/復号化を行う際の AES キーとして使用される。

参考に、GodZilla はクラスローダーの方法を利用しているが、これによって攻撃者が Web シェルに感染した Java 環境に不正なペイロードを送信することができる。これは上記の図で指定した AES Key 値で暗号化されたデータであり、Web シェルはこのデータを復号化し、攻撃者の命令を受けて不正な振る舞いを行うことができる不正な Java のクラスをロードする。

ここまでのプロセスに成功すると、攻撃者は以下のようなパネルで感染システムの情報を獲得したり、悪意のある命令を送信したりすることができる。

このような Godzilla Web シェルは多くの脆弱な Atlassian Confluence サーバーで確認されており、一つのシステムに多数の Godzilla Web シェルが確認されることもある。以下は Atlassian Confluence 脆弱性によって生成されたと推測される Web シェルがインストールされたパスのリストである。

8220 Gang マイナーの配布事例

「8220 gang」グループは CVE-2022-26134 の脆弱性を利用し、Windows および Linux ベースの脆弱なサーバーをターゲットに攻撃を展開しているグループである。脆弱性攻撃に成功した場合、最終的にはモネロコインマイナー(XMRig)をインストールするが、最近では韓国国外だけでなく、国内ユーザーをターゲットにした攻撃も行われていることが確認された。

2017年から攻撃が確認されている「8220 gang」グループは、最近では XMRig マイニングを行う際にウォレットアドレス^[1]「46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ」を使用していることが分かっている。

CVE-2022-26134 の脆弱性攻撃に成功した場合、まず以下のような Powershell の命令で、追加の Powershell スクリプトをダウンロードして実行する。

このスクリプトはダウンローダーとしても機能するが、特定のアドレスでは「ps1-6.exe」をマルウェアをインストールする。

「ps1-6.exe」は、以下のようなアドレスから追加のペイロードをメモリ上にダウンロードし、動的にロードする。このようなプロセスでロードされるペイロードは、正常なプログラムである「InstallUtil.exe」にプロセスハロウイング(Process Hollowing)を実行するインジェクターである。

InstallUtil.exe にインジェクションされて動作するペイロードも、ダウンロードおよびインジェクション機能を担っている。最終的にペイロードは 185.157.160[.]214:8080 からダウンロードされ、ここまでのプロセスが終了すると正常なプロセスである「AddInProcess.exe」に XMRig コインマイナーをインジェクションする。

参考にマイニングプールアドレスおよびウォレットアドレスのような、マイニングに必要な設定情報は、インジェクター(InstallUtil.exe)が「AddInProcress.exe」を実行させる際に、以下の[図10]のように引数で渡されている。

• Mining Pool アドレス : 「51.79.175[.]139:8080」
• ウォレットアドレス : 「46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ」
• パスワード : 「x」

z0Miner の攻撃事例

z0miner は様々な脆弱性を利用して拡散しているコインマイナー型マルウェアであり、代表的なものには CVE-2021-26084 脆弱性^[2][3]がある。以下は、脆弱な Atlassian Confluence サーバー環境で PowerShell によって z0miner がインストールされるところを示した当社 ASD ログである。

Wi.txt は PowerShell スクリプトであり、最初に既知のマイナーを削除するが、登録されているタスクスケジューラや実行中のプロセスのコマンドライン、ポート番号、さらにはプロセス名をベースとして検索をかけ、結果によってはそれらを強制終了させる。

その後、以下のようなアドレスから XMRig マイナーをインストールする。マイニングプールおよびウォレットアドレスのような設定データは config.json に指定されており、XMRig は %TEMP% パスに javae.exe という名前でインストールされて動作する。

• Mining Pool アドレス : 「pool.supportxmr[.]com:80」
• ウォレットアドレス : 「44Lu9jhKUuTVcSwGL1jLU6MKyFVNewBdL5mT13fjxLhFTSa5i6E5hMrAv1SmH16NYvc51GY6RnvQSKM4CDFFRov68aRFgYi」
• パスワード : 「x」

Hezb コインマイナーの攻撃事例

2022年6月初めには、脆弱な Atlassian Confluence サーバーをターゲットに Hezb コインマイナーをインストールする試みが確認された。Hezb は最近、CVE-2022-26134 脆弱性によって配布されているコインマイナー型マルウェアである。^[4] 以下は Tomcat プロセスによって実行される PowerShell が Hezb マイナーをインストールするログであり、kill.bat は Hezb 攻撃に使用される最初のバッチマルウェアである。

kill.bat は Windows Defender のリアルタイムスキャンを無効化し、実際に Hezb をインストールする mad.bat をダウンロードして実行する機能を担っている。

mad.bat は実際のコインマイナーをインストールするマルウェアで、NSSM(dsm.exe)を利用して XMRig(dom.exe)をサービスに登録して感染システムでマイニングを行う。

• Mining Pool アドレス : 「gulf.moneroocean[.]stream:10001」
• ウォレットアドレス : 「46HmQz11t8uN84P8xgThrQXSYm434VC7hhNR8be4QrGtM1Wa4cDH2GkJ2NNXZ6Dr4bYg6phNjHKYJ1QfpZRBFYW5V6qnRJN」
• パスワード : 「dom.[コンピューター名]」

参考に、Hezb ダウンロードページにアクセスすると、この前後で照会しているマルウェアを確認できる。

攻撃者は最近、Atlassian Confluence サーバーをターゲットにコインマイナーおよび Web シェルのようなマルウェアをインストールしている。システム管理者は、使用している Confluence バージョンが脆弱なバージョン(Confluence 7.15.0 – 7.18.0 もしくは Confluence 6.0.0 – Confluence 7.14.2)であるかを確認し、最新バージョンにパッチを適用して、既知の脆弱性による攻撃を防がなければならない。また、外部に開放されているサーバーの場合、二重認証を使用し、セキュリティ製品を利用して、部外者からのアクセスを制限する必要がある。

Atlassian の公式パッチ適用方法 : https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

AhnLab V3 製品では、当該タイプに対して以下の通り検知している。

[ファイル検知]
– CoinMiner/PowerShell.Agent (2022.07.14.02)
– Downloader/PS.Miner (2022.07.15.00)
– Trojan/Win.Generic.C5154950 (2022.06.02.02)
– Downloader/Win.MSIL.R504742 (2022.07.15.00)
– Trojan/BAT.Agent (2022.07.14.01)
– CoinMiner/BAT.Generic (2022.07.14.00)
– Unwanted/Win32.NSSM.R353938 (2020.10.27.00)
– Win-Trojan/Miner3.Exp (2019.12.11.01)
– Trojan/Win64.XMR-Miner.R226842 (2019.12.11.01)
– WebShell/JSP.Generic.S1538 (2021.06.15.03)
– WebShell/JSP.Godzilla.S1719 (2022.01.10.02)
– WebShell/JSP.Antsword.S1720 (2022.04.15.03)

[ビヘイビア検知]
– Execution/MDP.Powershell.M1185

[IOC]
MD5
8220 Gang
– 51ac2e4df1978c3fadaf3654f0f91462 (lol.ps1)
– dbda412cf6bf74af449ecb0b3bac7aa8 (ps1-6.exe)
– 8e211d1701e0e16cd30a414f5e5a384c (「InstallUtil.exe」で実行されるペイロード)
– af0b85c176c7c32f0e9585b7eeaa6629 (「AddInProcress」で実行される XMRig)

z0miner
– 95b1e4700488855a86caeed05e9d69ac (wi.txt)
– eecae73b7b0e1f5994f0b2135bf3aeb6 (wi.txt)
– 9dc451c7ddd841cdbed35018000bfd34 (clean.bat)
– d268585f581dbf9cc3b0c31b26a21abb (XMRig)

Hezb
– cb160e725249e2c0534eb01ec3d8e049 (kill.bat)
– f7da4506e638185af1f1b2fe30a2e9d2 (mad.bat)
– 1136efb1a46d1f2d508162387f30dc4d (dsm.exe – NSSM)
– 3edcde37dcecb1b5a70b727ea36521de (dom.exe – XMRig)
– 7ef97450e84211f9f35d45e1e6ae1481 (dom.exe – XMRig)

WebShell
– 975135edeab93b0da209e6d3d1be31ee (Godzilla)
– 37aed4e14b31dbd3a6a58c6e952b9847 (Godzilla)
– 1614943098a96caa5316fa46af91b20d (Godzilla)
– c03ec827d634899fdb2b275dad39c0aa (Godzilla)
– 9592237d299256d6abb0701b17bb7002 (Godzilla)
– f1595fced1a5f9b59046f28a16b04825 (Godzilla)
– e0421b2205153aaa910e8b3b6edee13f (Godzilla)
– ba6e65718963046baa260a71f0bbfffc (Godzilla)
– f30c109fd80b66e862f1c41d05a115c9 (Godzilla)
– 1f2a56fd54f302857846e8901232c03a (AntSword)

Download アドレス
8220 Gang
– hxxp://89.34.27[.]167/lol.ps1
– hxxp://95.142.47[.]77/ps1-6.exe
– hxxp://95.142.47[.]77/ps1-6_Jweozaou.jpg
– 185.157.160[.]214:8080
– 51.79.175[.]139:8080

z0miner
– hxxp://27.1.1[.]34:8080/docs/s/wi.txt
– hxxp://27.1.1[.]34:8080/docs/xmrig.exe
– hxxp://27.1.1[.]34:8080/docs/s/config.json
– hxxp://27.1.1[.]34:8080/examples/clean.bat

Hezb
– hxxp://202.28.229[.]174/win/mad.bat
– hxxp://202.28.229[.]174/win/kill.bat
– hxxp://202.28.229[.]174/win/dom.zip
– hxxp://202.28.229[.]174/win/dom-6.zip

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。