Kubernetesで不正マイニング、OpenMetadataの脆弱性を突く攻撃発見

これらドメインへのアクセスはセキュリティソリューションのアラートをトリガーする可能性が低く、外部への接続性を検証できるため利用されたと推測されている。

次に、脅威アクターは環境情報を収集して攻撃可能かどうかを判断する。攻撃可能と判断すると中国のリモートサーバからWindowsまたはLinux向けのマイニング型マルウェアをダウンロードして実行する。このとき、脅威アクターは同情を誘うメモを残しつつ、マルウェアの永続性を確保するためにcronジョブにマルウェアを登録する。

○対策

これら脆弱性は「OpenMetadata 1.3.1-Release」にて修正されている。OpenMetadataを運用している管理者にはバージョンを確認し、最新のリリースにアップデートすることが推奨されている。また、Microsoftは脅威アクターがリバースシェルを開始しようとする試みを「Microsoft Defender for Cloud」であれば検出できるとして導入を推奨している。

Microsoftは、今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）