攻撃者は、実行中のDockerコンテナ環境を狙い続けています。トレンドマイクロは最近、「Alpine Linux」をベースイメージとして使用して構築されたDockerコンテナで、不正な暗号資産発掘ツールと分散型サービス拒否(DDoS)ボットネットの両方を作成する攻撃を確認しました。トレンドマイクロでも2020年5月に同様の攻撃を調査しましたが、その際にも攻撃者は不正なAlpine Linuxコンテナを作成して、不正な暗号資産発掘ツールとDDoSボットをホストしていました。以下の図は、この攻撃における感染の流れを表しています。
ソフトウェア開発企業「Atlassian」は、2019年3月、広く利用されているコラボレーションソフトウェア「Confluence」の2つの脆弱性に関するセキュリティ勧告を公開しました。トレンドマイクロは、2019年4月、問題の脆弱性の1つ「CVE-2019-3396」を利用する攻撃を確認しました。CVE-2019-3396は、Confluenceのインスタンスでパストラバーサルと遠隔からのコード実行が可能になる脆弱性です。同じ脆弱性が利用された事例として、セキュリティ企業「Alert Logic」は、暗号化型ランサムウェア「Gandcrab」を作成する攻撃について報告しています。
続きを読むボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.AESDDOS.J」として検出)が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。
弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。
- 分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃
- 遠隔からのコード実行(Remote Code Execution、RCE)
- 仮想通貨の発掘