NSA から流出した脆弱性を悪用し暗号通貨 Monero 採掘用のマルウェアに感染させる「Zealot」キャンペーンが確認される

www.bleepingcomputer.com securityaffairs.co

概要

• 利用される脆弱性: インターネット上にある上記サーバーのうち以下の脆弱性をもつもの
  • Apache Struts (CVE-2017-5638): 米国の消費者信用情報会社 Equifax からの情報流出でも使われた脆弱性。
    • Apache Struts のエクスプロイトには Windows/Linux の両方を攻撃するペイロードがふくまれる
  • Windows サーバー用 コンテンツマネジメントシステム(CMS) DotNetNuke (CVE-2017-9822): JVNDB-2017-005948 DNN におけるリモートでコードを実行される脆弱性
  • EternalBlue
  • EternalSynergy (CVE-2017-0143)
• 対象: Windows サーバーおよび Linux サーバー
  • Windows サーバーに感染した場合、ShadowBrokers の攻撃により NSA から漏えいしたエクスプロイト EternalBlue と EternalSynergy を利用してさらに内部ネットワーク内で感染を拡大させる
  • Linux サーバーに感染した場合、EmpireProject からのものとみられるエクスプロイト後のフレームワークを利用し、Python スクリプトを実行、やはり暗号通貨 Monero 採掘用のコードをインストールする
• 目的: 暗号通貨 Monero 採掘用のマルウェアに感染させ暗号通貨を得ること
  • 命名理由: 対象サーバーにドロップされるファイル zealot.zip から
• 被害額: Monero のアドレスから「少なくとも 8500ドル相当以上の Monero 暗号通貨が採掘されている」「攻撃者のウォレットは複数あると見られるため実際の被害額はもっと大きいだろう」

対策

• Windows/Linux 両方:
  • Apache Struts CVE-2017-5638
    • Apache Struts による情報
• Windows サーバー:
  • マイクロソフト セキュリティ情報 MS17-010 - 緊急 による脆弱性対策セキュリティアップデートの適用
  • DNN (DotNetNuke): DNN Platform 9.1.1 または EVOQ 9.1.1 以降への更新

備考

• 攻撃で最後にドロップされるペイロードは実際にはなんでも良いので、今後はランサムウェアなどに切り替わる可能性もある
• 「カスタムマルウェアを使い、何段階にも分かれた感染ステップを踏み、ネットワーク内部の横展開にも気を配り、最大のダメージを与えるようにデザインされている。ただのボット使いのレベルを超えたかなり洗練された攻撃者であることが予想される」