CentOSサーバを標的とした新たなサイバー攻撃発見、管理者は対策を
マイナビニュース / 2024年9月23日 14時5分
Group-IBはこのほど、「Storm clouds on the horizon: Resurgence of TeamTNT?|Group-IB Blog」において、脅威アクター「TeamTNT」が実施中と推測される新しいサイバー攻撃を発見したと伝えた。TeamTNTは2022年に解散したとみられていたが、この攻撃で使用された戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)には類似点があるとしている。
○新しいサイバー攻撃の特徴
発見された新しいサイバー攻撃は、仮想専用サーバ(VPS: Virtual Private Server)上に構築されたCentOSサーバを標的とする。初期アクセスはSSH(Secure SHell)へのブルートフォース攻撃とされる。
攻撃者は侵入に成功すると悪意のあるスクリプトを実行する。スクリプトはサーバがすでに侵害されているかどうかを検証し、攻撃者のクリプトマイナーがすでに稼働している場合に攻撃を中断する。それ以外の場合は、セキュリティ機能を無効にしてAlibabaに関連するデーモンをアンインストールする。
次に、既存のクリプトマイナーを検索してすべて強制終了する。その目的は、他の脅威アクターによって設置されたクリプトマイナーを停止し、リソースをすべて攻撃者のクリプトマイナーに割り当てることとみられる。
その後、リゾルバにGoogle DNSを追加、永続性を確立、crontabの更新日時を2018年に変更する。最後にLinux向けルートキットの「Diamorphine」を展開し、SSHおよびファイアウォール設定を変更して管理者権限のバックドアを確立する。
○影響と対策
Linux向けルートキットの「Diamorphine」はGitHubにてソースコードが公開されている。攻撃者は公開されているルートキットをそのまま使用してファイルのアクセス権をロックし、復旧作業を強固に妨害する。また、通常の手続きによる電源断や再起動も妨害する。
Group-IBはこのサイバー攻撃を回避するために、Linuxサーバの管理者に、次のような対策の実施を推奨している。
オペレーティングシステムおよびソフトウェアを常に最新の状態に維持する
不必要なリモートからのアクセスをすべてブロックするようにファイアウォールを構成する。このとき、SSHには管理者のIPアドレスのみ許可する
SSHのデフォルトポートを10000以上の大きな値に変更する
SSHの認証には公開鍵認証のみ許可する
root(管理者)ユーザーへの直接ログインを禁止する。また、UID 0はrootにのみ設定されていることを確認する
Fail2Banのような不正アクセス防止ツールを導入し、ブルートフォース攻撃を効果的にブロックする
SELinuxおよびAppArmorを活用し、セキュリティを強化する
侵入検知、ファイルの整合性の監視、ルートキットや悪意のあるソフトウェアの検出ツールを導入する
ルートキットの動作およびホスティングプロバイダーの提供サービス次第ではあるが、侵害されたサーバは復旧できない可能性がある。そのような事態に備え管理者には上記の対策に加え、サーバのイミュータブルバックアップを定期的に取得することが推奨されている。
(後藤大地)
この記事に関連するニュース
-
2024年上半期サイバーセキュリティレポートを公開 脆弱性を悪用したカスタムツールGooseEggや世界的シェアを持つWordPressを狙った攻撃事例を解説
PR TIMES / 2024年9月24日 14時15分
-
カスペルスキー、「Tropic Trooper」の新たなサイバースパイ活動を発見
週刊BCN+ / 2024年9月19日 15時28分
-
APT攻撃グループ「Tropic Trooper」が、新たなサイバースパイ活動を中東で展開
PR TIMES / 2024年9月18日 16時45分
-
アダルトサイト狙う脅威アクターを別な脅威アクターが攻撃、カオスな状態
マイナビニュース / 2024年9月9日 12時49分
-
Chromeのゼロデイ脆弱性を北朝鮮の攻撃者が悪用、すぐ更新を
マイナビニュース / 2024年9月2日 10時49分
ランキング
-
1バトルもアツい新作『英雄伝説 界の軌跡』を試遊!「日本ファルコム」ブースは巨大「みっしぃ」やノベルティなどが魅力【TGS2024】
インサイド / 2024年9月26日 20時20分
-
2「どういうお笑い?」 ヨシモト∞ホールが誤表示を謝罪 “斜め上をいくエラー”に「声出たwww」「どうしてこうなった」
ねとらぼ / 2024年9月26日 17時44分
-
3『パワフルプロ野球2024-2025』7月31日までに入団発表された選手を追加する第4回アップデート配信―「栄冠ナイン」追加バランス調整の予告も
Game*Spark / 2024年9月26日 21時30分
-
4『モンハンワイルズ』に「イャンクック」が登場決定!「クック先生」の愛称で親しまれる人気モンスターが久しぶりの復活
インサイド / 2024年9月26日 23時35分
-
5「変わってなかったらロボット」 元“ギャルのカリスマ”安西ひろこ、容姿巡る「たたき」にピシャリ “45歳の近影”が奇跡そのものだった「本当の美人」
ねとらぼ / 2024年9月25日 20時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください