検索:
ホーム   »   XMRig

GitHub、Netlify経由でコインマイナーを配信、脆弱性の悪用事例を解説

  • 投稿日:2022年1月25日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

2021年初旬、共通脆弱性識別子「CVE-2021-41773」が割り当てられたセキュリティ上の弱点が「Apache HTTP Server Project」に公開されました。これは、Apache HTTP Serverのバージョン2.4.49に内在するパストラバーサルおよびリモートでコードが実行される(RCE)脆弱性です。この脆弱性が悪用されると、攻撃者はエイリアスのようなディレクティブにより構成されたディレクトリ外のファイルにURLを関連付けることが可能になります。また、エイリアスされたパスに対してCGI(Common Gateway Interface)スクリプトが有効になっている特定の設定下では、攻撃者がこの脆弱性をリモートコード実行に悪用する可能性もあります。最初にリリースされた修正(2.4.50)では不十分と判明した後、この修正に対するバイパスが報告されたことから、「CVE-2021-42013」として追跡調査が行われました。

その後、公式に修正されたバージョン(2.4.51)が、Apache HTTP Server Projectによってリリースされました。ただしトレンドマイクロでこの脆弱性を悪用する検体を分析したところ、攻撃者が暗号資産(旧仮想通貨)「Monero(XMR)」の不正マイニングを実施するために、脆弱な製品やパッケージに内在するさまざまな弱点を狙って、これらの脆弱性を突くエクスプロイト(脆弱性攻撃ツール)の多くを悪用していることを確認しました。本ブログ記事では、暗号資産採掘ツール(コインマイナー)やスクリプトをホストするためにGitHubおよびNetlifyのリポジトリやプラットフォームが悪用された手口について解説します。トレンドマイクロは今回確認した不正活動についてすでにGitHubおよびNetlifyに報告しており、問題のアカウントには停止措置が取られています。

(さらに…)

続きを読む
Tags: 仮想通貨コインマイナーGitHubNetlifyXMRig暗号資産

脆弱性攻撃ツール「Rig EK」、次は脆弱性「CVE-2018-8174」を利用して仮想通貨発掘マルウェアを拡散

  • 投稿日:2018年6月18日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

「Rig Exploit Kit(Rig EK)」のような脆弱性攻撃ツール(エクスプロイトキット)を利用した攻撃は、通常、改ざんされた Web サイトを起点とします。攻撃者は、不正なスクリプトやコードを Web サイトに埋め込み、アクセスしたユーザをエクスプロイトキットのランディングページにリダイレクトします。しかし、2017 年 2 月から 3 月頃に実施されたサイバー攻撃キャンペーン「Seamless」では、非表示にした iframe を経由してランディングページにリダイレクトしていました。iframe は Web ページの中に別のページのコンテンツを埋め込むために使用される HTML 要素です。

(さらに…)

続きを読む
Tags: CVE-2018-8174MoneroRig EKSeamlessXMRig

Oracle WebLogic の修正済み脆弱性を狙うトラフィックを確認、サーバを侵害し仮想通貨を発掘

  • 投稿日:2018年5月18日
  • 脅威カテゴリ:脆弱性
  • 執筆:Trend Micro
0

トレンドマイクロは、2018 年 4 月 27 日以降、TCP ポート 7001 番をスキャンする活動が急増していることを確認しました。このトラフィックは、脆弱性「CVE-2017-10271」を利用して仮想通貨発掘マルウェアを送り込むサイバー犯罪活動であることが判明しています。CVE-2017-10271 は、遠隔からの任意のコード実行が可能な「Oracle WebLogic WLS-WSAT の脆弱性」で、2017 年 10 月に更新プログラムが公開されています。不正な仮想通貨の発掘を目的としてこの脆弱性が利用されたのは 2018 年に入ってから 2 度目となります。2018 年 2 月、32 ビット版および 64 ビット版の仮想通貨発掘ツール(コインマイナー)「XMRig」の拡散にこの脆弱性が利用されました。

図 1 のように、2018 年 4 月 27 日以降不正なトラフィックが急増しており、その大多数は TCP 7001 番ポートで確認されました。このことから、これらのトラフィックは、初期設定では TCP 7001 番ポートで接続要求を待機する Java EE アプリケーションサーバ「Oracle WebLogic」を狙った攻撃だと考えられます。不正なトラフィックは、2018 年 4 月 8 日から 26 日にはたった 155 回しか確認されませんでしたが、4 月 27 日から 5 月 9 日には 2,640 回確認されています。送信元は、ほとんどがロシアおよび中国の IP アドレスでした。

2018 年 4 月 27 日以降不正なトラフィックが急増、そのほとんどは 7001/TCP 宛

図 1:2018 年 4 月 27 日以降不正なトラフィックが急増、そのほとんどは 7001/TCP 宛

(さらに…)

続きを読む
Tags: 仮想通貨発掘マルウェアCVE-2017-10271MoneroOracle WebLogicXMRig


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.