ハッカー、Apache ActiveMQの欠陥を悪用して仮想通貨をマイニング

画像引用先：Pixabay

ハッカーは現在、重大なApache ActiveMQの脆弱性を標的にし、LinuxマシンにKinsingマルウェアと仮想通貨マイナーをダウンロードして感染させています。

11月20日に公開されたTrend Micro研究者のブログ投稿によると、オープンソースのActiveMQプロトコル内のCVE-2023-46604脆弱性の悪用は、リモートコード実行（RCE）を引き起こし、これによりKinsingはマルウェアのダウンロードとインストールを実行できます。

システム感染後、Kinsingはホストのリソースを利用してBitcoinなどの暗号通貨をマイニングするスクリプトを展開。これはインフラストラクチャへの大きな損害だけでなく、システムのパフォーマンスにも悪影響を及ぼします。

研究者たちは、Kinsingマルウェアは主にLinuxベースのシステムを対象にしており、大きな脅威をもたらすと付け加えました。この悪意あるソフトウェアはサーバーに侵入し、ネットワーク全体に素早く拡散する能力を持っています。その侵入方法には、Webアプリケーション内の脆弱性の悪用や、誤設定されたコンテナ環境が含まれています。

「Apache ActiveMQを使用する組織は、できるだけ早くCVE-2023-46604のパッチを適用し、Kinsingに関連するリスクを軽減するために即時の行動を取るべきです」と研究者は投稿で述べています。「マルウェアがネットワークを横断して複数の脆弱性を悪用する能力を持っているため、最新のセキュリティパッチの維持、定期的な構成の監査、そして異常な活動に対するネットワークトラフィックの監視は、包括的なサイバーセキュリティ戦略の重要な構成要素です。」

この脆弱性の根本原因は、OpenWireコマンドのアンマーシャリング中のスロー可能なクラス型の検証に関連する問題にあると研究者らは指摘しています。

今月初め、CVE-2023-46604の積極的な悪用に関する報告が出され、ハッカーがMetasploitやNucleiのようなエクスプロイトを利用していることが明らかになりました。この脆弱性の重大性は、CVSSで9.8と評価されているにもかかわらず、検出レベルは比較的低いままです。

Viakoo Labs社の副社長であるJohn Gallagher氏は、CVEの重要性を強調し、Apache ActiveMQが広範囲に使用されており、複数のプロトコルを越えて通信が可能であることを指摘。さらに、IoT/OT/ICSデバイスとのインターフェースにおける非IT環境での広範な利用についても言及しました。

Gallagher氏はさらに、多くの組織がIoTデバイスのパッチ適用を維持することに課題を抱えていると述べました。このシナリオを考えると、Kinsingがこの脆弱性を悪用する戦略は、特に仮想通貨マイニングのような活動において、持続的な処理を目指す彼らの目標とよく一致しています。

「多くのIoTデバイスは強力な処理能力を備えていますが、パッチポリシーが不足しているため、マイニングはそれらのデバイスにとって理想的なアクティビティとなっています」とGallagher氏は述べています。 「別の言い方をすると、KinsingがこのCVEを仮想通貨マイニングに利用したのは、それが長期にわたる脆弱性であると予想しているからです。すぐにパッチが適用されるとKinsingが予想している脆弱性であれば、利用する意味はないでしょう。」