Cado Securityは3月2日(現地時間)、「Redis Miner Leverages Command Line File Hosting Service - Cado Security」において、インメモリデータベース「Redis」を標的とした新たなクリプトジャッキングキャンペーンを発見したとして、その手口を公開した。このキャンペーンの特徴は、悪意のあるペイロードのホスティングと配信のためにファイル転送サービス「transfer.sh」を悪用している点。transfer.shはコマンドラインで対話的に利用できるため、マルウェアキャンペーンに最適な環境を提供している可能性があると研究者は指摘している。

  • Redis Miner Leverages Command Line File Hosting Service - Cado Security|Cloud Investigation

    Redis Miner Leverages Command Line File Hosting Service - Cado Security|Cloud Investigation

transfer.shは、一時的にユーザーのファイルを保管し、他のユーザーと共有することをサポートするファイル転送サービス。その特徴はコマンドラインでの対話性に重点を置いていることで、curlやwgetなどのコマンドを利用してファイルのアップロードやダウンロードを行える。GUIのコンソールを利用する必要がないため、プログラムやスクリプトからでも簡単に利用できる点も魅力といえる。

  • コマンドラインで利用可能なtransfer.shのユースケース(引用:transfer.sh)

    コマンドラインで利用可能なtransfer.shのユースケース 引用:transfer.sh

今回のキャンペーンでは、安全ではない設定のまま公開されているRedisサーバが狙われた。攻撃者はcronジョブをデータストアに書き込み、データベースファイルをcronディレクトリに強制的に書き込むことによって、cronスケジューラが対象のデータベースファイルを読み込めるようにする。このようにして登録されたcronジョブによってcurlコマンドが実行され、transfer.shにホストされたファイルが読み込まれてbashスクリプトとして実行されるという。bashスクリプトはSELinuxの無効化をはじめとする攻撃の永続化や隠蔽のための処理を実施した上で、暗号資産のマイニングを行うペイロードを登録する。

Cado Securityによれば、transfer.sh自体は正当なサービスであり以前から存在していたものの、2023年の初めから急激にその利用が増加していることが確認されているという。その理由は不明だが、攻撃者が同様の目的で悪用していた他のサービスが対応策を実装し始めたことで、transfer.shへの移行が促進された可能性があると研究者は指摘している。

システムに暗号資産マイナーが仕込まれた場合、システムリソースを過剰に消費することで正規のサービスのパフォーマンスが著しく低下する恐れがある。また、メモリ管理システムを不適切な構成のまま放置した場合、データやシステムの破損につながる危険性もあるため注意が必要だ。Cado Securityのレポートでは、今回発見されたクリプトジャッキングキャンペーンに関する侵害の痕跡(IoC)が公開されている。