Docker, Hadoop, Redis, Confluence

Docker、Hadoop、Redis、Confluence、これらはみなさん利用されているでしょうか。
いずれもよく利用されているsoftwareです。
これらの共通点はなんでしょうか。
最近の攻撃キャンペーンで、softwareの設定の詰め切れていない部分を悪用するものが確認されています。
これら4つのsoftwareは、その攻撃キャンペーンでターゲットとなってしまっています。
どんな攻撃キャンペーンなのでしょうか。

• 攻撃の自動化
  4つのこれまで観測されていなかったペイロードが観測されていて、それらはDocker, Hadoop, Redis, Confluenceのホストの識別と悪用を自動化します。
• 脆弱性の悪用
  攻撃者は、リモートコード実行攻撃を実行するために使用されるConfluenceのN-day脆弱性であるCVE-2022-26134のエクスプロイトを展開します。
• ホストへの脱獄
  Docker侵害の場合、攻撃者はコンテナを生成し、そこから基盤となるホストに逃げます。
  攻撃者はコンテナを設置し、そのコンテナでhostの「/」をコンテナの「/mnt」にbind mountし、hostにファイルを配置して攻撃活動を進めていきます。
• リバースシェルの設置
  攻撃者は活動の継続のために、リバースシェルを設置します。
  悪用されるのはGitHubで公開されているPlatypusです。
• ルートキットの設置
  この攻撃キャンペーンでは複数のルートキットが展開されます。
  これにより悪意あるプロセスが隠蔽されます。

活動の中では様々な手法が使用されています。
送り込むバイナリがエンコードされています。
シェルスクリプトを使ったりcron jobを仕掛けたりしますが、その際に使用する「＆」や「＞」などの文字はそのままは利用せずにUnicodeで記述しますので、単純な文字列マッチで検出することは難しそうです。
攻撃に使用するツールの持ち込みに失敗した場合に備えて、同様の利用が可能な別のツールを持ち込む仕掛けもバックアップとして用意しています。
活動の展開のために脆弱性も悪用します。

そして、入り込んで活動を開始したマルウェアは現地でマイニングを開始します。
それとともに、さらなる活動のために感染をマルウェアが自動的に横展開します。

便利なツールにはチューニングすべき点や設定に注意が必要な点が存在します。
攻撃者はこういった点に関する研究に時間を割いています。
防御側も設定内容を十分に調整する必要がありそうです。

参考記事（外部リンク）：Spinning YARN – A New Linux Malware Campaign Targets Docker,
Apache Hadoop, Redis and Confluence
www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/