AhnLab Security Emergency response Center(ASEC)は2023年11月に「Andariel グループによる Apache ActiveMQ 脆弱性(CVE-2023-46604)を悪用した攻撃の状況」[1] ブログの記事を通して Andariel 脅威グループが CVE-2023-46604 脆弱性を攻撃してマルウェアをインストールした事例を公開したことがある。本記事では Andariel グループの攻撃事例以外にも HelloKitty マルウェア、Cobalt Strike、Metasploit の Meterpreter の攻撃事例も挙げている。
Apache ActiveMQ 脆弱性(CVE-2023-46604)は様々な攻撃者によって使用されている。最近では Ladon、NetCat、AnyDesk そして z0Miner をインストールする攻撃が追加で確認され、ここではそれぞれについて整理する。
1. Apache ActiveMQ 脆弱性(CVE-2023-46604)攻撃
CVE-2023-46604 はオープンソースメッセージ及び統合パターンサーバーである Apache ActiveMQ サーバーのリモートコード実行の脆弱性である。もしパッチが適用されていない Apache ActiveMQ サーバーが外部に露出されている場合、攻撃者はリモートで悪意のあるコマンドを実行して当該システムを掌握することができる。
- AhnLab TIP:Apache ActiveMQ セキュリティアップデートの推奨(CVE-2023-46604) [2](韓国語のみ提供)
脆弱性を利用した攻撃は classpath にあるクラスをインスタンス化するよう OpenWire プロトコルから直列化されたクラスタイプを操作する方式で行なわれる。もし攻撃者が操作されたパケットを送信する場合、脆弱なサーバーではパケットに含まれているパス、つまり URL を参照してクラス XML 設定ファイルをロードする。
例えば、脆弱な Apache ActiveMQ の Java プロセスは渡されたパケットを参照して「hxxp://27.191.193[.]193:555/poc2.xml」パスにある XML 設定ファイルをロードするようになる。その後、ロードした XML 設定ファイルを参照して指定したコマンドを実行する。以下の事例は CMD 及び PowerShell を使って Ladon をダウンロードし、リバースシェルによりコマンドを実行する内容が設定されている。
2. Ladon
Ladon は以下の GitHub ページでも分かるように中国語を基盤とした攻撃者が主に使用するツールの一つである。[3] Ladon は攻撃の過程で必要な様々な機能をサポートする。代表的にはスキャニング、権限昇格、アカウント情報奪取、リバースシェルのように様々な機能がある。
製作者は Ladon を持続的にアップデートしており、相対的に最新の脆弱性をとも言える CVE-2023-46604 脆弱性へのスキャニングもサポートしている。
攻撃者が Ladon を利用して脆弱性をスキャニングしたのかは分からないが、脆弱したバージョンの Apache ActiveMQ サービスが動作することを確認し、次の PowerShell コマンドで Ladon をダウンロードしてコマンドを実行した。ReverseTCP のコマンドはリバースシェルを実行することを意味し、nc すなわち Netcat を利用してリバースシェルを実行する。
3. AnyDesk & Netcat
上記の攻撃事例では、Lodon がサポートする Netcat コマンドが使用されたが、Netcat は別の攻撃事例でも確認されている。Netcat は TCP / UDP プロトコルであり、ネットワーク上で特定の対象とデータを送受信するユーティリティである。Linux だけでなく Window 環境もサポートしている点が特徴だ。ネットワークテスト目的で様々な機能を提供しているため、ネットワーク管理者もよく使用するツールであるが、攻撃者によって悪用されるツールでもある。
攻撃者は Netcat を実行しながら送信するコマンドを利用してリバースシェルやバインドシェルとして使用でき、実際に脆弱なウェブサーバーや MS-SQL サーバーを対象にする様々な攻撃で使用された事例が存在する。[4] [5] 今回確認された攻撃では、外部から Netcat をダウンロードしたあと、リバースシェルコマンドで感染システムのシェルを獲得した。
リバースシェルから感染システムを操作できるが、コマンドライン環境でコマンドを下すのは限界がある。一般的に攻撃者は感染システムを掌握したあと、リモートで画面を操作する目的で VNC や RDP そして遠隔操作ツールを追加でインストールする傾向がある。特に AnyDesk や NetSupport、Chrome のリモートデスクトップのような遠隔操作ツールは、最近のセキュリティ製品を回避することを目的によく使用されている。[6]
今回確認された攻撃で攻撃者は Netcat をインストールしたあと、追加で AnyDesk をインストールした。上記のプロセスでインストールした Netcat を利用して AnyDesk をインストールし、正常なホームページのダウンロード URL からインストールファイルをダウンロードした。
攻撃者は AnyDesk を Silent モードでインストールしたあと、「–set-password」引数でパスワードを変更し、実行した。
これらは過去 MS-SQL サーバーを対象とした攻撃事例から確認された事例とほぼ同じ方式である。
その後、攻撃者は感染システムにアクセスして実行するとき、「–set-password」引数で渡したパスワードを入力し、リモートで感染システムを操作できることとなる。
4. z0Miner
最近では、他にも XMRig コインマイナーをインストールする攻撃キャンペーンも確認されている。XML 設定ファイルの名前は「paste.xml」であり、以下のように CMD を利用して PowerShell コマンドを実行するデータが含まれている。「shella」は PowerShell ファイルとして推定され、攻撃者が以前の攻撃プロセスで PowerShell プログラムをこの名前でコピーしたものと見られる。復号化された PowerShell コマンドは、他の Powershell スクリプトをダウンロードして実行する。
ダウンロードされる PowerShell スクリプトは、XMRig コインマイナーと設定ファイルをダウンロードし、実行する単純なタイプである。
攻撃に使われた Powershell スクリプトを解析した結果、変数名、関数名、そして全体的な構造が z0Miner と類似していることが確認された。Z0Miner は2020年 Tencent Security Team が初めて報告し、Oracle Weblogic リモートコード実行の脆弱性(CVE-2020-14882 / CVE-2020-14883)攻撃で拡散された。 2021年には Atlassian Confluence のリモートコード実行の脆弱性(CVE-2021-26084)が脆弱性として拡散した事例が報告され、[7](英語外部サイト) [8](英語外部サイト)、過去の ASEC ブログでもこの攻撃事例について取り上げたことがある。[9]
5. 結論
攻撃者はパッチが適用されていない脆弱な Apache ActiveMQ サービスを対象に持続的に攻撃を行っている。確認された攻撃の中には、コインマイナーをインストールして暗号通貨を採掘する事例もあるが、感染システムを制御するためのマルウェアが多数確認される。攻撃者は感染システムを掌握したあと、情報を奪取したり、ランサムウェアをインストールすることができる。
システム管理者は使用している Apache ActiveMQ サービスが以下のように脆弱なバージョンであるかをチェックし、最新バージョンにパッチを適用して、既知の脆弱性による攻撃を防がなければならない。
Apache ActiveMQ 5.18.0 以上 5.18.3 未満のバージョン
Apache ActiveMQ 5.17.0 以上 5.17.6 未満のバージョン
Apache ActiveMQ 5.16.0 以上 5.16.7 未満のバージョン
Apache ActiveMQ 5.15.16 未満のバージョン
Apache ActiveMQ Legacy OpenWire Module 5.18.0 以上 5.18.3 未満のバージョン
Apache ActiveMQ Legacy OpenWire Module 5.17.0 以上 5.17.6 未満のバージョン
Apache ActiveMQ Legacy OpenWire Module 5.16.0 以上 5.16.7 未満のバージョン
Apache ActiveMQ Legacy OpenWire Module 5.8.0 以上 5.15.16 未満のバージョン
また、外部に開放されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制する必要がある。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Exploit/PS.Ladon (2023.12.09.00)
– Downloader/XML.Generic (2023.12.13.00)
– HackTool/Win.Netcat.R5561954 (2023.12.12.03)
– Downloader/XML.Generic (2023.12.13.00)
– CoinMiner/PS.Agent (2023.12.13.03)
– Win-Trojan/Miner3.Exp (2020.01.23.00)
– CoinMiner/Text.Config (2023.12.13.03)
振る舞い検知
– Execution/MDP.Powershell.M2514
– Execution/MDP.AnyDesk.M4547
IOC
MD5
– eb0e70ea44e578201df1e3c49e905144 : Ladon (Ladon.ps1)
– 1a7e8e719e29c2cca5083053bb240dbc : XML (poc2.xml)
– b6e0db27c2b3e62db616b0918a5d8ed8 : Netcat (ncat.exe)
– c1aa596dc33f2ba4aadbd689a1652701 : XML (paste.xml)
– baeee25ebf0efeec414dce64b9e7aca7 : Downloader (paste.ps1)
– 2a0d26b8b02bb2d17994d2a9a38d61db : XMRig (s.rar)
– da12148890bc665a8a27bf695955d8b0 : XMRig Config (config.json)
C&C
– 27.191.193[.]193:50000 : Ladon Netcat
– 62.233.50[.]97:6666 : Netcat
Download
– hxxp://27.191.193[.]193:555/Ladon.ps1 : Ladon
– hxxp://27.191.193[.]193:555/poc2.xml : XML
– hxxp://62.233.50[.]101:11197/ncat.exe : Netcat
– hxxp://121.190.90[.]250:8081/js/3/paste.xml : XML
– hxxp://121.190.90[.]250:8081/js/3/paste.ps1 : Downloader
– hxxp://121.190.90[.]250:8081/js/s.rar : XMRig
– hxxp://121.190.90[.]250:8081/js/3/config.json : XMRig Config
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報