AhnLab SEcurity intelligence Center(ASEC)は最近、Mimo と呼ばれるコインマイナーの攻撃者が様々な脆弱性を突く攻撃を行い、複数のマルウェアをインストールしている状況を確認した。Mimo は Hezb とも呼ばれ、2022年3月頃に Log4Shell の脆弱性攻撃を通じてコインマイナーマルウェアをインストールしている事例が初めて確認された。
これまでに認知されている攻撃事例はすべて、最終的に Mimo Miner Bot という XMRig コインマイナーをインストールする攻撃であった。しかし、関連する攻撃事例を通じて同じ攻撃者が Mimo マイナー以外にも Mimus ランサムウェア、Proxyware、リバースシェルマルウェアをインストールする事例も同様に確認された。ここでは、Mimo の攻撃者が攻撃に使用した様々なマルウェアを取り上げる。
1. 脆弱性を利用した攻撃の状況
初めて確認された Mimo 攻撃者の活動は2022年3月頃に Log4Shell の脆弱性(CVE-2021-44228)を突いた攻撃であり、コインマイナーをインストールしたものであった [1](外部サイト、英語にて提供)。2022年5月には WSO2 のリモートコード実行の脆弱性である CVE-2022-29464 を [2](外部サイト、英語にて提供)、2022年6月にはアトラシアン・コンフルエンス(Atlassian Confluence)サーバーの脆弱性である CVE-2022-26134 を利用して攻撃を行った事例が公開された。[3](外部サイト、英語にて提供) そして2023年5月には、印刷管理プログラムである PaperCut のリモートコード実行の脆弱性 CVE-2023–27350 を悪用した攻撃事例が [4](外部サイト、英語にて提供)、直近では Apache ActiveMQ の脆弱性(CVE-2023-46604)を利用した攻撃の状況も確認された。
ASEC では、2022年頃に 8220 Gang、z0Miner だけでなく Mimo (Hezb)攻撃者が脆弱なアトラシアン・コンフルエンス(Atlassian Confluence)サーバーを攻撃して XMRig コインマイナーをインストールした事例を解析して公開した。[5] この攻撃に利用された脆弱性 CVE-2022-26134 は、パッチが適用されていない脆弱なアトラシアン・コンフルエンス(Atlassian Confluence)サーバーのリモートコード実行の脆弱性である。
Atlassian 社の Confluence (コンフルエンス)は、代表的な協業型プラットフォームで、世界中の様々な企業が導入している。Confluence は Web ベースのプラットフォームで、プロジェクトの管理およびコラボレーションのようなサービスを、実質的に Confluence サーバー(もしくは Confluence データセンター)を通して提供している。多くの企業で導入されている有名なソリューションであるため、以前から継続的に脆弱な Confluence サーバーおよびデータセンターをターゲットにした脆弱性が発見されており、パッチが適用されていないシステムが攻撃対象になっている。
Mimo 攻撃者が Log4Shell(CVE-2021-44228)脆弱性を悪用してコインマイナーをインストールする事例も、最近まで継続的に確認されている。Log4Shell(CVE-2021-44228)は Java ベースのロギングユーティリティである Log4j の脆弱性であり、リモート先の Java オブジェクトのアドレスをログメッセージに含ませ Log4j を使用するサーバーに転送すると、サーバーから Java オブジェクトを実行できるリモートコード実行の脆弱性である。
攻撃対象のシステムは VMware Horizon 製品がインストールされたシステムであり、企業でのリモートワークソリューションとクラウドインフラ運用のために使用する仮想化デスクトップソリューションである VMware Horizon のパッチを現在までに適用しておらず、内部で使用している Log4j が攻撃を受けているものと推定される。
このほかにも、最近では2023年11月に公開された Apache ActiveMQ 脆弱性(CVE-2023-46604)攻撃も確認された。CVE-2023-46604 はオープンソースのメッセージおよび統合パターンサーバーである Apache ActiveMQ サーバーのリモートコード実行に関する脆弱性である。パッチが適用されていない Apache ActiveMQ サーバーが外部に公開されている場合、攻撃者はリモートで悪意を持ったコマンドを実行し、当該システムを掌握できる。
脆弱性攻撃は、classpath にあるクラスをインスタンス化するように OpenWire プロトコルでシリアライズされたクラスタイプを操作する方式で行われる。攻撃者が細工されたパケットを送信すると、脆弱なサーバーではパケットに含まれた経路、すなわち URL を参照して、クラス XML の設定ファイルをロードする。
例えば、脆弱な Apache ActiveMQ の Java プロセスは伝達された細工パケットを参考して「hxxp://102.130.112[.]157/poc-win.xml」の経路に存在する XML 設定ファイルをロードする。以降はロードした XML 設定ファイルを参照して指定したコマンドを実行するが、次の設定ファイルには Mimo マイナーをダウンロードする PowerShell コマンドが設定されている。
2. XMRig コインマイナーの攻撃事例
脆弱性攻撃によって実行された PowerShell は、Batch ファイル形式のマルウェアをダウンロードして実行するが、最近では「lnl.bat」または「kill.bat」という名前が使用されている。この Batch マルウェアは Windows Defender を無効化し、他のコインマイナーを削除したあと、最終的に「ln.bat」または「mad.bat」という Batch マルウェアを %TEMP% パスにダウンロードして実行する役割を担う。
「ln.bat」または「mad.bat」という Batch ファイル形式のマルウェアは、さらに「dom.zip」または「dom-6.zip」という圧縮ファイルをダウンロードして 7z ツールを利用して解凍する。この圧縮ファイルにはモネロコインの採掘を実行する XMRig コインマイナー「dom.exe」と NSSM ツール「dsm.exe」、設定ファイルが格納されている。Batch スクリプトは、その後 NSSM を利用して XMRig をサービスに登録する。脆弱性を突いた攻撃には様々な手法が使われているが、コインマイナーをインストールするルーティンは相対的に単純なものであり、XMRig や NSSM ツールもそのまま使用される。
- ウォレットアドレス – 1 : 43DTEF92be6XcPj5Z7U96g4oGeebUxkFq9wyHcNTe1otM2hUrfvdswGdLHxabCSTio7apowzJJVwBZw6vVTu7NoNCNAMoZ4
- ウォレットアドレス – 2 : 46HmQz11t8uN84P8xgThrQXSYm434VC7hhNR8be4QrGtM1Wa4cDH2GkJ2NNXZ6Dr4bYg6phNjHKYJ1QfpZRBFYW5V6qnRJN
3. Mimus ランサムウェア
Mimo 攻撃者の攻撃事例は、最近でも XMRig コインマイナー、すなわち Mimo マイナーをインストールするものがほとんどである。しかし、2023年にはランサムウェアによる攻撃事例も確認されている。ランサムウェアは2023年頃に Mimo マイナーを配布したアドレスと同じところから、同じタイミングに確認された。
この Batch マルウェアによってインストールされたランサムウェアは「mauri870」という開発者が研究目的で開発し、Github に公開したソースコードをベースに作られた。[6](外部サイト、英語にて提供) 当該ソースコードは別の攻撃者たちによって頻繁に使用されているのか、MauriCrypt として検知されているという内容も説明に記載されている。ここでは、当該オープンソースランサムウェアを MauriCrypt と呼称する。
MauriCrypt は Go 言語で開発されており、攻撃者はこれを利用してランサムウェアを制作したあと、Mimus ランサムウェアと命名した。Mimus ランサムウェアは MauriCrypt のソースコードと比較した際にこれといった違いが存在せず、攻撃者の C&C アドレス、ウォレットアドレス、電子メールアドレスのような設定データのみが変更されていた。
| 概要 | 説明 |
|---|---|
| 暗号化アルゴリズム | AES-256 CTR |
| 暗号化拡張子 | .encrypted |
| ランサムノート名 | READ_TO_DECRYPT.html, FILES_ENCRYPTED.html |
| 暗号化除外パス | “ProgramData”, “Windows”, “bootmgr”, “$WINDOWS.~BT”, “Windows.old”, “Temp”, “tmp”, “Program Files”, “Program Files (x86)”, “AppData”, “$Recycle.Bin” |
| 暗号化対象の拡張子 | “doc”, “docx”, “msg”, “odt”, “wpd”, “wps”, “txt”, “csv”, “pps”, “ppt”, “pptx”, “aif”, “iif”, “m3u”, “m4a”, “mid”, “mp3”, “mpa”, “wav”, “wma”, “3gp”, “3g2”, “avi”, “flv”, “m4v”, “mov”, “mp4”, “mpg”, “vob”, “wmv”, “3dm”, “3ds”, “max”, “obj”, “blend”, “bmp”, “gif”, “png”, “jpeg”, “jpg”, “psd”, “tif”, “gif”, “ico”, “ai”, “eps”, “ps”, “svg”, “pdf”, “indd”, “pct”, “epub”, “xls”, “xlr”, “xlsx”, “accdb”, “sqlite”, “dbf”, “mdb”, “pdb”, “sql”, “db”, “dem”, “gam”, “nes”, “rom”, “sav”, “bkp”, “bak”, “tmp”, “cfg”, “conf”, “ini”, “prf”, “html”, “php”, “js”, “c”, “cc”, “py”, “lua”, “go”, “java” |
| C&C アドレス | hxxp://windows.n1tro[.]cyou:4544 |
MauriCrypt は感染システムの「id」と暗号化に使われる AES キー値「enckey」をランダムに生成したあと C&C サーバーに接続して伝達する。参考に、Mimus ランサムウェアは無効化されているが、MauriCrypt では C&C サーバーとの通信に Tor をサポートする機能も含まれている。Tor ブラウザをダウンロードして %TEMP% パスにインストールしたあと、これを実行して Tor ブラウザを経由し C&C サーバーに接続する方式である。
その後、例外パスを除く他のパスで指定した拡張子に該当するファイルを暗号化する。暗号化されたファイルは、名前が Base64 でエンコードされ、拡張子が「.encrypted」に変更される。ファイルの暗号化が完了すると、デスクトップに2つのランサムノートが生成される。ランサムノート「FILES_ENCRYPTED.html」は暗号化されたファイルのリストが保存されており、ランサムノート「READ_TO_DECRYPT.html」に連絡先のアドレスとビットコインのウォレットアドレスが含まれている。
- 攻撃者のメールアドレス:arbeyceo@proton[.]me
- 攻撃者のビットコインのウォレットアドレス: 15Jz1fmreZx9wG93DKjTXMhuLpPpCgvEQk
- 復号化ツール販売サイト:hxxps://satoshidisk[.]com/pay/CIIRg6
ランサムノートに明記された復号化ツール販売サイトに接続すると、復号化ツールを0.01050000 BTC で販売する記事を確認できる。Mimus ランサムウェアの攻撃との直接的な関係は不明だが、ビットコインのウォレットアドレスの記録によれば、多数の取引履歴が確認できる。
4. Proxyware
配布方式およびインストールするスクリプトは確認されなかったが、Mimo マイナーを配布した時点に、同じアドレスから Proxyware とリバースシェルマルウェアがダウンロードされた履歴も存在する。すなわち、攻撃者は収益を創出するためにランサムウェア攻撃およびコインマイニング以外にも、Proxyware をインストールする Proxyjacking 攻撃を同時に使用したものと推定される。
Proxyware とは、インストールされたシステムにおいて現在使用可能なインターネット帯域幅の一部を外部に共有するプログラムであり、一般的にこのプログラムをインストールしているユーザーは帯域幅を提供する代わりに一定の金額を受け取っている。攻撃者がユーザーの同意を得ずに感染システムに Proxyware を密かにインストールすると、感染したシステムは非自発的にネットワーク帯域幅を奪われることになり、収益は攻撃者に帰することとなる。これは Cryptojacking 攻撃と類似しているが、Proxyware の代わりにコインマイナーをインストールして感染システムのリソースで暗号通貨を採掘する点が異なっている。
5. NHAS リバースシェル
このほかにも、Mimo マイナーのダウンロードアドレスと同じアドレスを C&C サーバーとして使用するリバースシェルマルウェアも確認された。攻撃に使われたリバースシェルは「NHAS」が開発し、Github に公開されている reverse_ssh というツールであり、Go 言語で開発されている。C&C サーバーとの通信に SSH プロトコルを使用することが特徴である。[7](外部サイト、英語にて提供)
NHAS リバースシェルは、基本的には名前のようにリバースシェルであるため、他のバックドアおよび RAT タイプと比較してコマンドの実行やファイル操作、ポートフォワーディングのような基本的なコマンドのみを提供する。ただし、これがインストールされたということは、攻撃者が単純に感染システムにコインマイニングや Proxyware、ランサムウェアをインストールして収益を得るだけでなく、さらなる操作のために感染システムの操作権限を奪うこともあるということを意味する。
6. 結論
2022年初頭に初めて確認された Mimo マイナーの攻撃者は、最近でも Log4Shell(CVE-2021-44228)、WSO2 のリモートコード実行の脆弱性である CVE-2022-29464、アトラシアン・コンフルエンス(Atlassian Confluence)サーバーの脆弱性である CVE-2022-26134、印刷管理プログラムである PaperCut のリモートコード実行の脆弱性 CVE-2023–27350、そして Apache ActiveMQ 脆弱性(CVE-2023-46604)等の脆弱性を突いた攻撃によってマルウェアをインストールしている。
これらの脆弱性はすべてパッチが公開されているが、攻撃者は適切に管理されていないシステムを対象とするため、攻撃は現在でも続いている。システム管理者は、使用しているサービスが脆弱なバージョンであるかをチェックし、最新バージョンにパッチを適用して、既知の脆弱性による攻撃を防がなければならない。
また、外部に開放されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制する必要がある。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Downloader/BAT.CoinMiner.SC195961 (2024.01.11.02)
– Downloader/BAT.CoinMiner.SC195959 (2024.01.11.02)
– CoinMiner/BAT.Xmrig.SC195960 (2024.01.11.02)
– CoinMiner/BAT.Xmrig.SC195962 (2024.01.11.02)
– Unwanted/Win32.NSSM.R353938 (2020.10.27.00)
– Trojan/Win32.RL_Miner.R363967 (2021.01.23.01)
– Win-Trojan/Miner3.Exp (2020.01.23.00)
– Data/JSON.Miner (2022.05.11.03)
– Data/JSON.Miner (2021.12.12.00)
– Downloader/BAT.CoinMiner.SC195966 (2024.01.11.02)
– Downloader/BAT.CoinMiner.SC195964 (2024.01.11.02)
– CoinMiner/BAT.Xmrig.SC195965 (2024.01.11.02)
– CoinMiner/BAT.Xmrig.SC195963 (2024.01.11.02)
– Downloader/BAT.Agent (2024.01.11.02)
– Malware/Win32.Generic.C4280792 (2020.12.28.01)
– Unwanted/Win.Peer2Profit.C5572495 (2024.01.11.02)
– Backdoor/Win.ReverseShell.C5572514 (2024.01.11.03)
– Downloader/XML.Generic (2024.01.12.00)
振る舞い検知
– Execution/MDP.Powershell.M1185
– Connection/MDP.Event.M2367
IoC
MD5
– 618680a68eb6ac79f530a0291ad29d9f : Downloader (lnl.bat)
– 5e0f18dfe16f274d34716d011e0a3f39 : Downloader (kill.bat)
– 958dd3e767b32a28c199d59ce01ffb6c : CoinMiner Downloader (ln.bat)
– c25972604121f4c6a7f8025e4e575c7c : CoinMiner (mad.bat)
– 1136efb1a46d1f2d508162387f30dc4d : NSSM (dsm.exe)
– 7ef97450e84211f9f35d45e1e6ae1481 : XMRig (dom.exe)
– 3edcde37dcecb1b5a70b727ea36521de : XMRig (dom.exe)
– bfa626e053028f9adbfaceb5d56086c3 : Config (config.json)
– 61def7b3b98458a40fffa42a19ddf258 : Config (config.json)
– 78c0c7648854d61da3bfba08dc11ffd6 : Downloader (kill.bat)
– a3ffb336aee9f01275c92ac529c8f70e : Downloader (me1.bat)
– 52cef8752f2c0f9a5383d2aecbdccc6f : CoinMiner (me.bat)
– 5d32f0eee7adf20e0766d5481a1953a5 : CoinMiner (me2.bat)
– b206cf6652a2d8279e7ca32f3127aeed : Downloader (prx.bat)
– dd6931fda2df843249a5df40b8808387 : Mimus ランサムウェア (lol.exe)
– a2cf452cb27ff2970e3248a9793de326 : Peer2Profit Installer (Peer2Profit-Setup.exe)
– 77c2cb38dbcc944c010deda3024bb804 : Reverse Shell (me)
– c9450a531ea62c6b9f7db0d5c7cae5a5 : Exploit (poc-win.xml)
C&C
– hxxp://windows.n1tro[.]cyou:4544 : Mimus ランサムウェア
– 102.130.112[.]157:3232 : NHAS Reverse Shell
Download アドレス
– hxxp://102.130.112[.]157/lnl.bat : Downloader
– hxxp://102.130.112[.]157/kill.bat : Downloader
– hxxp://102.130.112[.]157/ln.bat : CoinMiner Downloader
– hxxp://102.130.112[.]157/mad.bat : CoinMiner Downloader
– hxxp://102.130.112[.]157/dom.zip : CoinMiner / NSSM
– hxxp://102.130.112[.]157/dom-6.zip : CoinMiner / NSSM
– hxxp://102.130.112[.]157/7za.exe : 7zip
– hxxp://102.130.112[.]157/poc-win.xml : Exploit
– hxxp://50.19.48[.]59:82/kill.bat : Downloader
– hxxp://50.19.48[.]59:82/me1.bat : Downloader
– hxxp://50.19.48[.]59:82/me.bat : CoinMiner
– hxxp://50.19.48[.]59:82/me2.bat : CoinMiner
– hxxp://50.19.48[.]59:82/prx.bat : Downloader
– hxxp://50.19.48[.]59:82/lol.exe : Mimus Ransomware
– hxxp://50.19.48[.]59:82/mazar.zip : Peer2Profit Installer
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報