今年6月以降、「HolesWarm」と名付けられた新しいボットネットが徐々に世界に浸透していることがわかりました。
このボットネットは、20以上の既知の脆弱性を悪用してWindowsやLinuxのサーバに侵入し、暗号通貨を採掘するマルウェアを展開しているものになります。
セキュリティ企業のTencent社などの報告によると、このボットネットは主に中国国内で確認されていますが、今後攻撃能力が拡大するにつれ、その範囲が拡大し、世界中のシステムを標的とすることが予想されるとの見方を示しています。
Tencent Cloud Firewallは、最近急速に広まっているクロスプラットフォームのワーム「HolesWarm」を捕捉しました。このワームは、わずか1ヶ月の間に20種類以上の脆弱性を悪用し「脆弱性攻撃の王者」となっています。
2021年6月初旬以降、HolesWarmは数多くの侵入を引き起こし、合計で1,000台以上のクラウドホストが侵害されました。
テンセントのセキュリティ専門家は、政府機関や企業の顧客に対し、関連するネットワークコンポーネントの高リスクの脆弱性をできるだけ早く修正するよう注意を促しました。
ボットネットは、主にm[.]windowsupdatesupport[.]orgに設置されたコマンド&コントロールサーバーから運用されており、以下のようなソフトウェアの脆弱性を悪用していることが確認されています。
- Docker
- Jenkins
- Apache Tomcat
- Apache Struts (複数のバグ)
- Apache Shiro
- Apache Hadoop Yarn
- Oracle WebLogic (CVE-2020-14882)
- Spring Boot
- Zhiyuan OA (複数のバグ)
- UFIDA
- Panwei OA
- Yonyou GRP-U8
侵入経路は被害者によって異なりますが、Tencent Securityによるとマルウェアが感染したシステムにアクセス経路を構築すると、HolesWarmはローカルのパスワードをダンプし、ローカルネットワークに拡大。XMRigベースの暗号通貨採掘ツールを展開します。
一般的なボットネットは、暗号採掘プロセスをテザリングすることで、感染したシステム上での存在を隠そうとしますが、HolesWarmはこのような安全機構を採用していないようで、報告によるとHolesWarmはサーバーのCPUを最大に使用しており、それが原因で発見されたとのことです。
現在、このボットネットはオンラインで定期的に出現している暗号マイニング・ボットネットの中でも新しい部類に分類され、IOCはレポートとセキュリティ企業であるIntezer Labs社のTwitterのスレッドに掲載されており、このボットネットの初期の攻撃をいくつか確認することができます。
Golangで書かれたXMRig minerドロッパーは、WindowsとLinuxの両方を対象としています。LinuxドロッパーはVirusTotalで検出されていません。
実行時、ドロッパーはパーシスタンスを作成し、windowsupdatev1.json上の追加ペイロードをC&Cに問い合わせます。
Comments