脅威リサーチ
Mirai、RAR1Ransom、GuardMiner:複数のマルウェアがVMwareの脆弱性を攻撃
4月、VMwareはCVE-2022-22954の脆弱性にパッチを適用しました。この脆弱性は、パラメーター「deviceUdid」および「devicetype」のサニタイズが不十分であることから、サーバー側のテンプレートインジェクションの原因となっています。攻撃者はペイロードを注入し、VMware Workspace ONE AccessおよびIdentity Managerでリモートコードを実行することができます。FortiGuard Labsは、4月にこの脆弱性に関する脅威シグナルレポートを発表し、IPSシグネチャも作成しました。
FortiGuard Labsは、それ以降に実害が報告されている攻撃に注目しました。ほとんどのペイロードは、パスワードやホストファイルなど被害者の機密データを探すことに専念します。しかし、8月にいくつかの特殊なペイロードが見つかり、それが私たちの興味を引きました。これらのペイロードの狙いは、次のマルウェアを配信することでした。すなわち、Linuxが動作する公開済みネットワークデバイスを標的とするMirai、正規のWinRaRを利用して暗号化を行うRAR1ransom、そして、Moneroの「マイニング」に使用されるxmrigの亜種であるGuardMinerです。
このブログでは、これらのマルウェアがVMwareの脆弱性をどのように利用し、エクスプロイト後にどのような振る舞いをするかを詳しく解説します。
影響を受けるプラットフォーム: VMware Workspace ONE AccessおよびIdentity Manager
影響を受けるユーザー: Vmwareユーザー
影響: 攻撃者は脆弱性を利用して、不正なコマンドが含まれたメッセージを送信し、コマンドインジェクション攻撃を実行できる。
深刻度: クリティカル
図1:CVE-2022-22954の活動
Mirai亜種
図2にMiraiのペイロード全体を示します。このペイロードは一時ディレクトリに配置され、http[:]//107[.]189[.]8[.]21/pedalcheta/cutie[.]x86_64からMirai亜種をダウンロードし、パラメーター「VMware」を使って実行します。
図2:攻撃トラフィックのキャプチャ
図3:デコードされたコマンド
大半のMiraiボットネットと同様に、この亜種の主な目的はDoSの配信とブルートフォース攻撃です。0x54でデータをXOR演算したのちに構成の一部をデコードし、C2サーバーが「cnc[.]goodpackets[.]cc」であることを突き止めました。デコードされた文字列は次のとおりです。
図4:デコードされた構成文字列
ブルートフォースの関数に、エンコードされたアカウントとパスワード文字列が使用されていることも確認しました。
図5:ブルートフォース攻撃用の関数
デコードされたパスワードを以下に示します。これらはよく使用されるパスワードで、有名なIoTデバイスのデフォルトの認証情報も含まれています。
hikvision |
1234 |
win1dows |
S2fGqNFs |
root |
tsgoingon |
newsheen |
12345 |
default |
solokey |
neworange88888888 |
guest |
bin |
user |
neworang |
system |
059AnkJ |
telnetadmin |
tlJwpbo6 |
iwkb |
141388 |
123456 |
20150602 |
00000000 |
adaptec |
20080826 |
vstarcam2015 |
v2mprt |
Administrator |
1001chin |
vhd1206 |
support |
NULL |
xc3511 |
QwestM0dem |
7ujMko0admin |
bbsd-client |
vizxv |
fidel123 |
dvr2580222 |
par0t |
hg2x0 |
samsung |
t0talc0ntr0l4! |
cablecom |
hunt5759 |
epicrouter |
zlxx |
pointofsale |
nflection |
admin@mimifi |
xmhdipc |
icatch99 |
password |
daemon |
netopia |
3com |
DOCSIS_APP |
hagpolm1 |
klv123 |
OxhlwSG8 |
|
Mirai亜種が実行されると、ハードコードされた文字列「InfectedNight did its job」を表示し、パラメーター「VMware」とともにハートビートを送信します。そして、C2サーバーからの次のコマンドを待機します。ハートビートとブルートフォース攻撃からのトラフィックセッションを以下に示します。
図6:ハートビートトラフィックのキャプチャ
図7:ブルートフォース攻撃のセッション
RAR1RansomとGuardMinerの初期化スクリプト
67[.]205[.]145[.]142からのペイロードにも注目すべき点があります。このペイロードには2つのセッションが含まれ、それぞれが被害者のオペレーティングシステムに応じて異なるコマンドを使用します。一方はPowerShellを使用して「init.ps1」をダウンロードし、もう一方はPythonライブラリのcurl、wget、urlopenを使用して「init.sh」をダウンロードします。
図8:攻撃トラフィックのキャプチャ(Windows用)
図9:攻撃トラフィックのキャプチャ(Linux用)
PowerShellスクリプトファイル「init.ps1」から、cloudflare-ipfs[.]comへの複数のリンクが抽出され、攻撃をさらに進めるために使用されます。各ファイルには、それぞれに固有のcrustwebsites[.]netへのバックアップリンクが格納されています。
図10:init.ps1内のダウンロードリンク
次の7ファイルは初期化に使用されます。
- phpupdate.exe:Xmrig Moneroマイニングソフトウェア
- config.json:マイニングプール用の構成ファイル
- networkmanager.exe:感染のスキャンと拡散に使用される実行ファイル
- phpguard.exe:ガーディアンXmrigマイナーが動作し続けるために使用される実行ファイル
- init.ps1:スケジュール済みタスクの作成によって永続性を維持するためのスクリプトファイル
- clean.bat:侵害されたホストから他のクリプトマイナーを削除するためのスクリプトファイル
- encrypt.exe:RAR1ランサムウェア
図11:init.ps1の「start encrypt」セクション
図11に示した「start encrypt」セクションでは、RAR1ransomを実行する前に、まず「flag_encrypt.flag」を確認します。このフラグファイルが存在し、「encrypt.exe」もすでにダウンロード済みであれば、「encrypt.exe」を削除して次の段階に進みます。それ以外の場合はファイルサイズを確認し、ファイルパスを更新するかどうかを判断します。最後にプロセスを確認したのち、ランサムウェアを実行します。RAR1ランサムウェアについては次のセクションで詳しく解説します。
このあと、スクリプトはGuardMiner攻撃を実行します。GuardMinerはクロスプラットフォームのマイニング型トロイの木馬で、2020年から活動しています。FortiGuard LabsはGuardMinerに関する詳細なレポートを発表しています。今回のバージョンでは、Linuxシステム用のスクリプトファイル「init.sh」もドロップされています。
図12:Linux用「init.sh」
私たちは、GuardMinerがさらに新しい脆弱性で「networkmanager.exe」を更新していることも発見しました。GuardMinerは各エクスプロイトモジュールの名前から、セキュリティテストを目的としたChaitin Tech Githubエクスプロイトリストを収集している可能性があります。
図13:networkmanager.exe内の脆弱性リストが含まれたrdataセクション
FortiGuard Labsが抽出した脆弱性の完全なリストを以下に示します。
eyou-email-system-rce |
maccms-rce |
thinkphp5-controller-rce |
seacms-rce |
terramaster-tos-rce-cve-2020-28188 |
spon-ip-intercom-ping-rce |
thinkphp5023-method-rce |
yonyou-grp-u8-sqli-to-rce |
yccms-rce |
gitlist-rce-cve-2018-1000533 |
phpunit-cve-2017-9841-rce |
pandorafms-cve-2019-20224-rce |
yonyou-nc-bsh-servlet-bshservlet-rce |
CVE-2022-22947-spring-clond-Gateway-RCE |
CVE-2022-22954-VMware-RCE |
amtt-hiboss-server-ping-rce |
inspur-tscev4-cve-2020-21224-rce |
dlink-dsl-2888a-rce |
phpstudy-backdoor-rce |
Confluence-CVE-2022-26134 |
seacms-before-v992-rce |
apache-flink-upload-rce |
dedecms-cve-2018-7700-rce |
solr-velocity-template-rce |
webmin-cve-2019-15107-rce |
jumpserver-unauth-rce |
Hotel-Internet-Manage-RCE |
drupal-cve-2018-7600-rce |
seacms-v654-rce |
S2-045-rce |
tamronos-iptv-rce |
ecshop-rce |
satellian-cve-2020-7980-rce |
opentsdb-cve-2020-35476-rce |
zeroshell-cve-2019-12725-rce |
struts2-062-cve-2021-31805-rce |
dlink-cve-2019-16920-rce |
h3c-imc-rce |
RAR1Ransom
RAR1RansomはC:/Windows/Tempフォルダに「rar.exe」をドロップします。これは正当なWinRaRソフトウェアで、パスワードを設定して被害者のファイルを圧縮します。RAR1Ransomは、WinRaRの複数のデフォルトオプションを使ってファイルを暗号化し、効率化を図っています。図14のProcess Explorerでこれらのプロセスを確認できます。
図14:RAR1Ransomがファイルを暗号化するプロセス
完全なコマンドを以下に示します。オプションの「df」と「m0」は、ファイルを圧縮せずにアーカイブに追加したあと、ファイルを削除することを意味します。「mt10」は10個のスレッドを使用すること、「ep」は名前からパスを除外することを示しています。「hp」は、ファイルデータとヘッダーの両方をパスワードで暗号化することを意味します。
C:/Windows/Temp/rar.exe a -df -m0 -mt10 -ep -hpVbDsLHSfbomQiQ6YuP7m1ZaNP0LQqYpzrkjwvuNSjsnQlicOxNPi0iKzKeQO1Besbpbx1iKWNeOfFQDEw8qaoAGmN1Nx9i0vbUcr "C:/Python27/Lib/json/MVXGG33EMVZC44DZ.rar1" "C:/Python27/Lib/json/MVXGG33EMVZC44DZ"
RAR1Ransomは侵害された被害者のファイルのうち、図15に示す特定の拡張子を持つファイルを標的にします。
図15:標的ファイルの拡張子
暗号化されたすべてのファイルには固有のファイル名と拡張子「.rar1」が付けられます。そして、そのファイルと同じフォルダ内に、図17のメッセージとともにテキストファイル「READ_TO_DECRYPT.txt」がドロップされます。
図16:暗号化されたファイル
図17:ランサムノート(身代金の宣告)
このランサムノートのウォレットの文字列は、図18に示したマイナーの構成にある文字列と同じです。攻撃者の意図は、被害者のリソースをできる限り多く利用することにあると見られ、それはRAR1Ransomをインストールして恐喝するだけでなく、GuardMinerを拡散させて暗号通貨を集めるためでもあります。
図18:GuardMinerの「config.json」構成
結論
クリティカルな脆弱性CVE-2022-22954は4月にパッチの適用が済んでいますが、依然としてそれを悪用しようとするマルウェアが複数存在します。ユーザーはシステムを常に最新の状態に保ち、パッチを適用し、環境内での疑わしいプロセスに注意する必要があります。上記のMirai亜種、RAR1Ransom、GuardMinerはそれほど複雑なサンプルではありませんが、その手法は絶えず変化し進化しています。FortiGuard Labsは今後も監視を続け、最新の情報を提供します。
フォーティネットのソリューション
フォーティネットではお客様をプロアクティブに保護するため、CVE-2022-22954に対するIPSシグネチャVMware.Workspace.ONE.Access.Catalog.Remote.Code.Executionを公開しました。このシグネチャは、IPS定義バージョン20.297で正式発表されています。
以下のスクリプトおよびマルウェアは、FortiGuardアンチウイルスとFortiEDRサービスによって検知されブロックされます。
Adware/Miner
W32/PossibleThreat
Riskware/Agent
BASH/CoinMiner.RZ!tr
PowerShell/CoinMiner.BW!tr
ELF/GuardMiner.A!tr
W64/GuardMiner.A!tr
BAT/Cleaner.CC41!tr
IOC(Indicators of Compromise:侵害指標)
SHA256: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