Group-IBはこのほど、「Storm clouds on the horizon: Resurgence of TeamTNT?|Group-IB Blog」において、脅威アクター「TeamTNT」が実施中と推測される新しいサイバー攻撃を発見したと伝えた。TeamTNTは2022年に解散したとみられていたが、この攻撃で使用された戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)には類似点があるとしている。
新しいサイバー攻撃の特徴
発見された新しいサイバー攻撃は、仮想専用サーバ(VPS: Virtual Private Server)上に構築されたCentOSサーバを標的とする。初期アクセスはSSH(Secure SHell)へのブルートフォース攻撃とされる。
攻撃者は侵入に成功すると悪意のあるスクリプトを実行する。スクリプトはサーバがすでに侵害されているかどうかを検証し、攻撃者のクリプトマイナーがすでに稼働している場合に攻撃を中断する。それ以外の場合は、セキュリティ機能を無効にしてAlibabaに関連するデーモンをアンインストールする。
次に、既存のクリプトマイナーを検索してすべて強制終了する。その目的は、他の脅威アクターによって設置されたクリプトマイナーを停止し、リソースをすべて攻撃者のクリプトマイナーに割り当てることとみられる。
その後、リゾルバにGoogle DNSを追加、永続性を確立、crontabの更新日時を2018年に変更する。最後にLinux向けルートキットの「Diamorphine」を展開し、SSHおよびファイアウォール設定を変更して管理者権限のバックドアを確立する。
影響と対策
Linux向けルートキットの「Diamorphine」はGitHubにてソースコードが公開されている。攻撃者は公開されているルートキットをそのまま使用してファイルのアクセス権をロックし、復旧作業を強固に妨害する。また、通常の手続きによる電源断や再起動も妨害する。
Group-IBはこのサイバー攻撃を回避するために、Linuxサーバの管理者に、次のような対策の実施を推奨している。
- オペレーティングシステムおよびソフトウェアを常に最新の状態に維持する
- 不必要なリモートからのアクセスをすべてブロックするようにファイアウォールを構成する。このとき、SSHには管理者のIPアドレスのみ許可する
- SSHのデフォルトポートを10000以上の大きな値に変更する
- SSHの認証には公開鍵認証のみ許可する
- root(管理者)ユーザーへの直接ログインを禁止する。また、UID 0はrootにのみ設定されていることを確認する
- Fail2Banのような不正アクセス防止ツールを導入し、ブルートフォース攻撃を効果的にブロックする
- SELinuxおよびAppArmorを活用し、セキュリティを強化する
- 侵入検知、ファイルの整合性の監視、ルートキットや悪意のあるソフトウェアの検出ツールを導入する
ルートキットの動作およびホスティングプロバイダーの提供サービス次第ではあるが、侵害されたサーバは復旧できない可能性がある。そのような事態に備え管理者には上記の対策に加え、サーバのイミュータブルバックアップを定期的に取得することが推奨されている。