Sysdig脅威リサーチチームによる調査の紹介

By 清水 孝郎 - APRIL 29, 2024
Topics: 脅威リサーチ

SHARE:

本文の内容は、2024年4月26日に MIGUEL HERNÁNDEZ が投稿したブログ(https://sysdig.com/blog/sysdig-threat-research-team-rsa-2024/)を元に日本語に翻訳・再構成した内容となっております。

Sysdig 脅威リサーチチーム (TRT) は、クラウドのスピードで安全なイノベーションを支援するという使命を担っています。

業界屈指の脅威リサーチャーで構成されるSysdig TRTは、最新のクラウドネイティブセキュリティの脅威、脆弱性、攻撃パターンを発見し、啓蒙活動を行っています。

私たちはセキュリティに対して情熱を持ち、その目的に全力で取り組んでいます。最新のインサイト、監視すべき傾向、クラウドネイティブ環境を保護するための重要なベスト プラクティスに関する最新情報をここで入手してください。または、5 月 6 ~ 9 日に米国サンフランシスコで開催されるRSAカンファレンス2024にご来場ください。SysdigのブースはS-742です。

以下では、これまでに実施された最新のリサーチと、セキュリティエコシステムをどのように改善したかについて詳しく説明します。

SSH-SNAKE

SSH-Snake は 、自己修正型ワームで、侵害されたシステム上で発見された SSH 認証情報を利用して、ネットワーク全体に拡散を開始します。ワームは、既知の認証情報の場所とシェル履歴ファイルを自動的に検索して、次の行動を決定します。 SSH-Snake は、攻撃活動において脅威アクターによって積極的に使用されています。 

Sysdig TRT は、SSH-Snake を利用している攻撃者のコマンド&コントロール (C2) サーバーを発見しました。このサーバーは、アクセス権を取得した各ターゲットの SSH-Snake の出力を含むファイルのリポジトリを保持します。 

C2サーバー上で見つかったファイル名には、被害者のIPアドレスが含まれており、これにより、これらの脅威行為者が既知のConfluenceの脆弱性を悪用して初期アクセスを得てSSH-Snakeを展開しているという高い信頼度の評価を行うことができました。これは、他の脆弱性が利用されていないことを意味するものではありませんが、被害者の多くがConfluenceを実行しているということです。 

SSH-Snake の出力には、見つかった認証情報、ターゲットの IP、被害者の bash 履歴が含まれます。私たちは被害者リストが増加するのを目の当たりにしています。これは、これが進行中の作戦であることを意味します。この記事の執筆時点で、被害者の数は約 300 人です。

RUBYCARP

Sysdig TRT は、ルーマニアの脅威アクター グループによって運用され、長期にわたって実行されているボットネット ( RUBYCARPと呼ばれています) を発見しました。証拠によれば、この脅威アクターは少なくとも 10 年間活動し続けています。その主な運用方法は、さまざまな公開エクスプロイトやブルートフォース攻撃を使用して導入されたボットネットを利用します。このグループは、パブリックおよびプライベート IRC ネットワークを介して通信し、サイバー兵器やターゲットデータを開発し、クリプトマイニングやフィッシングを通じて金銭的利益を得るためにボットネットを使用します。このレポートでは、RUBYCARP の運営方法とその動機について調査しています。

RUBYCARP は、多くの脅威アクターと同様に、金銭的利益を可能にするペイロードに興味を持っています。これには、クリプトマイニング、DDoS、フィッシングが含まれます。私たちは、侵害された資産を収益化するためにさまざまなツールを導入しているのを目撃しました。たとえば、RUBYCARP はフィッシング活動を通じてクレジットカードをターゲットにしていることが確認されています。

SCARLETEEL

2023 年に発見された複雑な作戦であるSCARLETEEL は、引き続き繁栄を続けています。クラウド環境は依然として主なターゲットですが、使用されるツールと技術は、より回復力が高くステルス性の高いコマンド アンド コントロール アーキテクチャーとともに、新しいセキュリティ対策をバイパスするように適応されています。より高度な侵入環境である AWS Fargate も、新しい攻撃ツールによってその環境内での運用が可能になるため、標的となっています。

このグループが発見した攻撃グラフは次のとおりです:

脆弱なコンピューティング サービスを悪用して AWS アカウントを侵害し、永続性を獲得し、クリプトマイナーを使用して収益を上げようとします。もし私たちが彼らの攻撃を阻止しなかったら、私たちの控えめな見積もりでは、彼らのマイニングには停止するまで 1 日あたり 4,000 ドル以上の費用がかかっていたでしょう。

私たちは、彼らがクリプトマイニングを行っているだけでなく、知的財産を盗んでいることを知っています。最近の攻撃で、攻撃者は AWS ポリシーの顧客の間違いを発見して悪用し、権限を AdministratorAccess に昇格させてアカウントの制御を取得し、そのアカウントを自由に操作できるようにしました。また、攻撃を大幅に拡大するために Kubernetes をターゲットにしていることも観察しました。

AMBERSQUID

クラウドの脅威に引き続き、Sysdig TRT はAMBERSQUIDと名付けた新しいクラウドネイティブのクリプトジャッキングオペレーションを発見しました。このオペレーションは、AWS Amplify、AWS Fargate、Amazon SageMaker など、攻撃者が通常使用しない AWS のサービスを利用します。これらのサービスは一般的ではないため、セキュリティの観点から見落とされることが多く、AMBERSQUID のオペレーションにより被害者に 1 日あたり 10,000 ドル以上の損害が発生する可能性があります。

AMBERSQUID オペレーションは、EC2 インスタンスのみにスパム送信する場合のように、追加のリソースの承認を求める AWS 要件をトリガーすることなく、クラウド サービスを悪用することができました。複数のサービスをターゲットにすると、悪用された各サービスのすべてのマイナーを見つけて強制終了する必要があるため、インシデント対応などの追加の課題も生じます。

私たちは、Docker Hub 上のコンテナイメージにどのような種類の悪意のあるペイロードが隠されているかを理解するために、170 万を超える Linux イメージの分析を実行して AMBERSQUID を発見しました。

この危険なコンテナイメージは、既知のインジケーターや悪意のあるバイナリの静的スキャン中にアラームを生成しませんでした。サービス間のクリプトジャッキング活動が明らかになったのは、コンテナが実行されたときのみでした。これは、静的スキャンだけでは悪意のあるイメージの 10% が見逃されるという2023 年のクラウド脅威レポートの調査結果と一致しています。

MESON NETWORK

Sysdig TRT は、 2024 年 3 月 15 日頃に行われる暗号トークンのロック解除に先立って、ブロックチェーン ベースの Meson サービスを使用して報酬を得る悪意のあるキャンペーンを発見しました。数分以内に、攻撃者は侵害されたクラウド アカウントを使用して 6,000 の Meson Network ノードを作成しようとしました。 Meson Network は、ブロックチェーン プロトコルを通じて合理化された帯域幅マーケットプレイスを確立することにより、Web3 で動作する分散型コンテンツ配信ネットワーク (CDN) です。

数分以内に、攻撃者は侵害されたアカウント内で複数のリージョンにわたって約 6,000 個のインスタンスを生成し、 meson_cdnバイナリを実行することができました。これにはアカウント所有者にとって多大なコストがかかります。攻撃の結果、マイクロサイズを使用しただけでも、作成されたすべての Meson network ノードに 1 日あたり 2,000 ドル以上のコストがかかると推定されています。これには、6,000 ノードで月額 22,000 ドルもかかる可能性があるパブリック IP アドレスの潜在的なコストは考慮されていません。これらの Mesonトークンにはまだ公開市場で価値が設定されていないため、攻撃者が獲得できる報酬トークンの量と価値を見積もることは困難です。

Ambersquid の場合と同様に、その層と脆弱性の分析を含む静的な観点からは、イメージは正当で安全であるように見えます。ただし、実行時の実行中に送信ネットワーク トラフィックを監視したところ、gaganode が実行され、悪意のある IP への接続を実行していることがわかりました。

LABRAT

LABRAT オペレーションは、攻撃者が攻撃におけるステルス性と防御回避に重点を置いているため、他の作戦とは一線を画しています。スクリプトは作成が簡単であるため、攻撃者がスクリプトをマルウェアとして利用するのが一般的です。ただし、この攻撃者は、Go と .NET で書かれた検出されていないコンパイル済みバイナリを使用することを選択し、これにより攻撃者はより効果的に隠れることができました。

攻撃者は、検出されないシグネチャベースのツール、高度でステルスなクロスプラットフォーム マルウェア、ファイアウォールをバイパスするコマンド アンド コントロール (C2) ツール、カーネル ベースのルートキットを利用して存在を隠蔽しました。攻撃者は収入を得るために、クリプトマイニングとロシア関連のプロキシジャッキング スクリプトの両方を利用しました。さらに、攻撃者は正規のサービス TryCloudFlare を悪用して C2 ネットワークを難読化しました。

この攻撃者の明らかな目的の 1 つは、プロキシジャッキングとクリプトマイニングを使用して収入を得ることでした。プロキシジャッキングにより、攻撃者は侵害されたシステムをプロキシ ネットワークに「レンタル」し、基本的に侵害された IP アドレスを販売することができます。帯域幅には明確なコストがかかりますが、侵害されたシステムが攻撃やその他の違法行為に使用された場合には、評判にも潜在的なコストがかかります。クリプトマイニングは、すぐに止めないと重大な経済的損害を被る可能性もあります。このマルウェアは侵害されたシステムへのバックドア アクセスも提供しているため、LABRAT オペレーションの唯一の目的は収入だけではない可能性があります。この種のアクセスは、データの盗難、漏洩、ランサムウェアなどの他の攻撃に利用される可能性があります。

この攻撃のように、複数の防御回避層を使用する攻撃を検出することは困難な場合があり、ランタイムの深いレベルの可視性が必要です。

CVE

STRT の唯一の目的は、新たな悪意のある攻撃者を探すことではなく、出現する新たな脆弱性に迅速に対応し、実行時に検出するための新しいルールで製品を更新することでもあります。最後の 2 つの例を以下に示します。

CVE-2024-3094

2024 年 3 月 29 日、XZ Utils と呼ばれる人気パッケージのバックドアが Openwall メーリング リストで発表されました。このユーティリティには、リモート アクセスに使用されるインターネット インフラストラクチャーの重要な部分である SSHD によって使用される liblzma と呼ばれるライブラリが含まれています。CVE-2024-3094がロードされると、SSHD の認証に影響し、方法に関係なく侵入者のアクセスを許可する可能性があります。

  • 影響を受けるバージョン: 5.6.0、5.6.1
  • 影響を受けるディストリビューション: Fedora 41、Fedora Rawhide

Sysdig Secure ユーザーの場合、このルールは “Backdoored library loaded into SSHD (CVE-2024-3094)” と呼ばれ、Sysdig Runtime Threat Detection ポリシーにあります。

- rule: Backdoored library loaded into SSHD (CVE-2024-3094)

  desc: A version of the liblzma library was seen loading which was backdoored by a malicious user in order to bypass SSHD authentication.

  condition: open_read and proc.name=sshd and (fd.name endswith "liblzma.so.5.6.0" or fd.name endswith "liblzma.so.5.6.1")

  output: SSHD Loaded a vulnerable library (| file=%fd.name | proc.pname=%proc.pname gparent=%proc.aname[2] ggparent=%proc.aname[3] gggparent=%proc.aname[4] image=%container.image.repository | proc.cmdline=%proc.cmdline | container.name=%container.name | proc.cwd=%proc.cwd proc.pcmdline=%proc.pcmdline user.name=%user.name user.loginuid=%user.loginuid user.uid=%user.uid user.loginname=%user.loginname image=%container.image.repository | container.id=%container.id | container_name=%container.name|  proc.cwd=%proc.cwd )

  priority: WARNING

 tags: [host,container]Code language: JavaScript (javascript)

Leaky Vessels

2024 年 1 月 31 日、Snyk はKubernetes と Docker に 4 つの脆弱性が発見されたと発表しました。 

  • CVE-2024-21626: CVSS – High, 8.6
  • CVE-2024-23651: CVSS – High, 8.7
  • CVE-2024-23652: CVSS – Critical, 10
  • CVE-2024-23653: CVSS – Critical, 9.8

Kubernetes の場合、脆弱性は runc CRI に固有です。悪用に成功すると、攻撃者がコンテナからエスケープし、ホスト オペレーティング システムにアクセスできるようになります。これらの脆弱性を悪用するには、攻撃者はコンテナのビルド時に Dockerfile をコントロールする必要があります。

次の Falco ルールは、ディレクトリを proc ファイル記述子に変更しようとする影響を受けるコンテナ ランタイムを検出しますが、これは通常のアクティビティではありません。このルールは実験的なものであると考えられ、OSS Falco および Sysdig Secure でカスタム ルールとして使用できます。

- rule: Suspicious Chdir Event Detected

  desc: Detects a process changing a directory using a proc-based file descriptor.  

  condition: >

    evt.type=chdir and evt.dir=< and evt.rawres=0 and evt.arg.path startswith "/proc/self/fd/" 

  output: >

    Suspicious Chdir event detected, executed by process %proc.name with cmdline %proc.cmdline under user %user.name (details=%evt.args proc.cmdline=%proc.cmdline evt.type=%evt.type evt.res=%evt.res fd=%evt.arg.fd nstype=%evt.arg.nstype proc.pid=%proc.pid proc.cwd=%proc.cwd proc.pname=%proc.pname proc.ppid=%proc.ppid proc.pcmdline=%proc.pcmdline proc.sid=%proc.sid proc.exepath=%proc.exepath user.name=%user.name user.loginuid=%user.loginuid user.uid=%user.uid user.loginname=%user.loginname group.gid=%group.gid group.name=%group.name container.id=%container.id container_name=%container.name image=%container.image.repository:%container.image.tag)

  priority: WARNING

  tags: [host, container]Code language: HTML, XML (xml)

RSAC 2024 で SYSDIG TRT に会いましょう

Sysdig 脅威リサーチチーム (TRT) のメンバーは、5 月 6 ~ 9 日に米国サンフランシスコで開催される RSAカンファレンス2024 のブース S-742 に常駐し、今年最もホットで重要なサイバーセキュリティのトピックのいくつかについての調査結果と分析からのインサイトを共有します。

RSAカンファレンスでは会場でSysdig TRTチームと交流できます。こちらで時間をご予約ください