サーバーは、感染したホストを使用して他のマシンをブルートフォース攻撃するマルウェア攻撃の標的になっています。
Akamai の研究者には Stealthworker として知られているこの感染は、脆弱なパスワードを狙って大量のマルウェアを駆使し、一般的な CMS、パブリッシング、ホスティング ツールが稼働している Windows および Linux サーバーを乗っ取ります。
Akamai の上級セキュリティ研究者 Larry Cashdollar (そう、それが彼の名字であり、そう、彼はそのジョークに飽き飽きしている) は、何らかの理由で大量のトラフィックを処理していた、意図的に公開された Wordpress/MySQL コンテナを操作中に、この攻撃を発見しました。
「システムにログインすると、自分のシステムとインターネット上の数十のWPサイトとの間に大量の接続があるのがわかる」とキャッシュダラー氏はThe Registerに語った。
「トラフィックが WordPress のログイン試行であることがわかりました。私のシステムは、一連の認証情報を使用して WordPress のログイン ページにログインしようとしています。」
明らかに侵害を受けた仮想ボックスのログ ファイルを精査しているときに、マルウェアをインストールするために変更された PHP ファイルを含む疑わしい WordPress テーマを偶然発見しました。
最終的に、Cashdollar 氏はマルウェアの動作を捕捉し、導入からサーバーの完全乗っ取りまでのライフサイクル全体を観察することができたとEl Regに語った。
Stealthworkerの仕組みは以下のとおりです。Stealthworkerは分散型ブルートフォース攻撃から攻撃を開始します。感染したマシンはそれぞれ、共通のパスワードを用いて標的に対し複数回のログイン試行を行います。試行を複数のマシンに分散させることで、攻撃者はログイン試行回数の制限を回避できます。
すごいですね、テクノロジーサービスの価格が急落しています。ここで言うテクノロジーサービスとは、ボットネットのレンタルや盗難クレジットカードのことです。
続きを読む
管理者パスワードが推測されると(今回の場合はWordPressですが、StealthworkerはDrupal、Joomla、Magento、MySQLなど、その他多数のマルウェアも標的としています)、マルウェアは様々なコンポーネントのインストールと削除の手順を実行します。WordPressの場合、Alternate-Liteテーマの改変版がダウンローダーに繋がり、バックエンドを標的とし、cPanelやWMHなどのアプリケーションを介してサーバー全体を乗っ取ろうとします。
最終的には、ボットネット所有者の命令でWindowsまたはLinuxサーバーが完全に乗っ取られることになります。Akamaiの研究者によると、感染したテストシステムからマルウェア自体を完全に削除しても、ボットネットは数分以内にそれらのマシンに再感染しました。パスワードを変更することで初めて、感染を完全に根絶することができました。
最終的に、サーバーはコマンドアンドコントロールホストにダイヤルインするよう指示され、そこで他のサーバーと連携して他のマシンのパスワードを総当たり攻撃するよう指示されます。この過程で、乗っ取られたマシンから収集されたすべてのパスワードが、ボットネットが他のマシンで試行するログインリストに追加されるとのことです。
Stealthworkerマルウェアの目的は、他のサーバーを統合しようとすること以外には、明確ではありません。また、この攻撃を仕掛ける人数についても、あまり情報がありません。大規模な攻撃グループによるものなのか、それとも同じツールを使用する複数のグループによるものなのかは不明です。
Akamai の研究員 Steve Ragan 氏は、MageCart などのスクレイピングツールがサーバー上で使用できるという兆候がいくつかある一方で、マルウェアによって攻撃者が完全な制御権を獲得することで、あらゆる種類の悪意ある行為が可能になると指摘しています。
「彼らが手に入れるのは、何にでも使える脆弱なサーバーとウェブサイトの広範なネットワークだ」とラガン氏は説明した。
「最終的な目的は、攻撃者がやりたいと思うことすべてです。」
Stealthworker攻撃は厄介で、完全に除去するのは困難ですが、解決策は比較的シンプルです。Akamaiは、管理者の皆様に、すべてのパスワードを複雑で推測しにくいものにすることを推奨しています。この攻撃は脆弱な認証情報を狙うため、このシンプルな対策ですべてを安全に保つことができます。®
