Cado Securityは1月18日(英国時間)、「Containerised Clicks: Malicious use of 9hits on vulnerable docker hosts - Cado Security|Cloud Forensics & Incident Response」において、脆弱なDockerサービスを標的とした新しいサイバー攻撃のキャンペーンを発見したと報じた。このキャンペーンではマイニング型マルウェア「XMRig」とトラフィック交換アプリ「9Hits」の悪用が確認されている。

  • Containerised Clicks: Malicious use of 9hits on vulnerable docker hosts - Cado Security|Cloud Forensics & Incident Response

    Containerised Clicks: Malicious use of 9hits on vulnerable docker hosts - Cado Security|Cloud Forensics & Incident Response

トラフィック交換アプリ「9Hits」

9Hitsは世界中の利用者間でトラフィックを交換し、1日に数万回ものアクセスを受けることが可能とうたうトラフィック制御アプリ。利用者はポイント(1秒=1ポイント)を購入するか、9Hits Viewerアプリケーションを実行してポイントを獲得し、登録したWebサイトへのアクセス数をポイントを消費して稼ぐことができる。また、マクロを使用してサイトへの操作をシミュレーションすることも可能とされる。

9Hits Viewerは他のユーザーが登録したサイトへ自動的にアクセスするアプリケーション。このアプリケーションを他のユーザーに使用してもらうことで、世界中から指定した方法でアクセスを受けることが可能になる。また、9Hits Viewerを使用して他のユーザーのサイトにアクセスするとポイントを獲得できる。得られたポイントは自分が登録したサイトへのアクセスに自動的に使用される。つまり、9Hits Viewerを起動しておくだけでさまざまなサイトへ自動でアクセスし、その対価として自分のサイトのアクセス数を稼ぐことができる。

攻撃キャンペーンの概要

Cado Securityの研究者によると、攻撃者はインターネット経由で脆弱なDockerホストに悪意のあるコンテナを展開したものとされる。攻撃者はこの脆弱なホストをShodanのようなサービスを使用して検索したと推測されており、積極的なスキャンは確認できていない。

コンテナはDockerHubから9HitsとXMRigのイメージを取得して展開される。そして、カスタムコマンドを使用してコンテナを起動し、感染を開始する。9Hitsのコンテナでは攻撃者のセッショントークンを使用して9Hitsのサーバと通信し、9Hits Viewerを使用して他のユーザーのWebサイトへのアクセスを開始する。その結果、攻撃者は侵害したDockerホストのネットワーク環境を使用して9Hitsのポイントを獲得可能。なお、攻撃者が使用したセッショントークンでは攻撃者の9Hitsアカウントを侵害することはできない。

XMRigのコンテナではマイニングプールを指定してマイニングが実行される。マイニングプールは複数の利用者が協力してマイニングする仕組みであり、攻撃者が指定したプールは非公開の可能性が高く、その規模は不明とされる。

影響と対策

このキャンペーンにおいては、侵害されたDockerホストは今のところデータの窃取や改ざんなどの直接的な被害を受けてはいない。しかしながら、9Hitsによりネットワーク帯域とメモリを大量に消費され、XMRigによりCPUリソースが大量に消費される。その結果、本来PCが提供できる能力の大部分を攻撃者に悪用されることになり、正常なサービスを維持できなくなる可能性が高くなる。

また、将来的にこの攻撃者は侵害したホストにリモートシェルなどのバックドアを配置して、追加の攻撃を実行する可能性がある。Cado Securityはこのような攻撃を回避するために、Dockerを運用している管理者に対しセキュリティを強化することを推奨している。また、この調査の過程で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。