あるハッカーグループが、仮想通貨モネロ(XMR)の不正マイニング(クリプトジャッキング)を目的に、すでに5万9000のIPネットワークに対する大規模スキャンを11月24日から行っているという。不正マイニングツールをインストールできるよう、動作中の仮想化ソフトウェア「Docker(ドッカー)」に接続可能なAPIをインターネット上に公開してしまっている企業などを探しているそうだ。IT系ニュースサイトZDNetが11月26日に報じた。
記事によると、米サイバーセキュリティ企業バッド・パケットが11月25日に今回の攻撃を最初に発見したという。同社研究責任者共同設立者トロイ・マーシュ氏は、脆弱なDocker環境を標的とする活動は目新しいものではなく、頻繁に発生すると指摘。例えば、サイバーセキュリティ企業Imperva(インパーバ)は2019年3月、APIの脆弱性を介したリモート接続が可能な上、不正なXMRマイニングツールがインストールされていたDocker環境を400以上発見した。
Recons scans largely use ZMap and check the path "/v1.16/version" prior to exploitation.
Ports scanned:
2375/tcp
2376/tcp
2377/tcp
4243/tcpRemediation recommendation:
Close Docker API ports exposed to the internet.
Terminate unrecognized running containers.
Large uptick in Docker targeted scanning activity started around midnight UTC on 2019-11-24.
Payload script http://ix.io/1XQa has zero detections on VirusTotal (https://www.virustotal.com/gui/file/d898aa7be535f3e12c4d1790abb017bf9d8003a5d9fdceb8918e3a2d8b247838/detection …) despite clear malicious activity.
Archived copy here: https://web.archive.org/web/20191125223120/http://ix.io/1XQa …
XMRマイニングツール「XMRig」の古いバージョンを利用
またマーシュ氏によると、ハッカーは標的となるサーバーを特定すると、Docker上でゲスト(コンテナー)環境として「アルパイン・リナックス(Alpine Linux)」を起動。さらに、攻撃者側サーバーからXMRマイニングツール「XMRig」の古いバージョンをインストールするスクリプトをダウンロードするという。攻撃者たちは、24日からの2日間ですでに14.82XMR(記事掲載時点)を採掘済みと明かしたそうだ。
マーシュ氏は、動作中のDockerに接続可能なAPIの公開状況を確認し、不要なポートを閉じること、身に覚えのない実行中のコンテナーを終了するよう推奨している。
●テレグラム始めました!
https://t.me/joinchat/F-7ftRCH5u_8J7k2JUM1rw
●無料でLINE@で有益情報を随時流しています。
https://t.me/joinchat/F-7ftRCH5u_8J7k2JUM1rw
●無料でLINE@で有益情報を随時流しています。
■トレードするならバイナンス!
https://www.binance.com/
■yobit net
https://yobit.net/en/
Source: 仮想通貨情報局