現在進行中の一連のプロキシジャッキング攻撃の背後にいる攻撃者は、オンラインに公開されている脆弱な SSH サーバーをハッキングし、未使用のインターネット帯域幅の共有に料金を支払うプロキシウェア サービスを通じて収益化しています。
攻撃者がハッキングされたシステムを使用して暗号通貨の採掘を可能にするクリプトジャッキングと同様、プロキシジャッキングは、侵害されたデバイスのリソースを搾取する低労力で高額の報酬が得られる戦術です。
ただし、プロキシジャッキングは、ハッキングされたシステムの未使用の帯域幅を侵害するだけで、システム全体の安定性や使いやすさに影響を与えないため、検出するのはより困難です。
脅威アクターは、ハッキングされたデバイスを使用して、痕跡を隠し、悪意のあるアクティビティを難読化するのに役立つプロキシを設定することもできますが、このキャンペーンの背後にいるサイバー犯罪者は、商用プロキシウェア サービスを通じた収益化のみに興味を持っていました。
「これは、攻撃者がリモート アクセスに SSH を利用し、被害者のサーバーを Peer2Proxy や Honeygain などのピアツーピア (P2P) プロキシ ネットワークに密かに参加させる悪意のあるスクリプトを実行するアクティブなキャンペーンです」と Akamai のセキュリティ研究者 Allen West 氏は述べています。 。
「これにより、攻撃者は、クリプトマイニングに必要なリソース負荷のほんの一部で、発見される可能性が低くなり、何も疑っていない被害者の追加帯域幅を収益化することができます。」
このキャンペーンの調査中に、Akamai は調査を開始した IP と、オンライン フォーラムで共有されている少なくとも 16,500 の他のプロキシを含むリストを発見しました。
プロキシウェア サービスと Docker コンテナ
Akamai がこの攻撃を初めて発見したのは、同社の Security Intelligence Response Team (SIRT) が管理するハニーポットに対して複数の SSH 接続が行われた後、6 月 8 日でした。
脆弱な SSH サーバーの 1 つに接続すると、攻撃者は Base64 でエンコードされた Bash スクリプトを展開し、ハッキングされたシステムを Honeygain または Peer2Profit のプロキシ ネットワークに追加しました。
また、このスクリプトは、Peer2Profit または Honeygain Docker イメージをダウンロードし、他のライバルの帯域幅共有コンテナーを強制終了することによってコンテナーをセットアップします。
Akamai はまた、悪意のあるスクリプトの保存に使用された侵害されたサーバー上で、クリプトジャッキング攻撃、エクスプロイト、およびハッキング ツールに使用されるクリプトマイナーを発見しました。これは、攻撃者が完全にプロキシジャッキングに重点を置いているか、追加の不労所得を得るためにプロキシジャッキングを利用していることを示唆しています。
「プロキシジャッキングは、企業エコシステムと消費者エコシステムの両方で、サイバー犯罪者が侵害されたデバイスから収益を得る最新の方法となっている」とウェスト氏は述べた。
「これはクリプトジャッキングに代わるよりステルス的な手段であり、プロキシ化されたレイヤー 7 攻撃がすでに提供している頭痛の種をさらに増大させる可能性がある深刻な影響を及ぼします。」
これは、 Cisco TalosとAhnlabが以前に報告したように、侵入したシステムを Honeygain、Nanowire、Peer2Profit、IPRoyal などのプロキシウェア サービスに登録する多くの同様のキャンペーンの 1 つにすぎません。
4 月には、Sysdig は、プロキシジャッカーが初期アクセスにLog4j の脆弱性を悪用し、プロキシウェア ボットネットに追加されるデバイス 100 台ごとに最大 1,000 ドルの利益を上げていることも発見しました。
Comments