本ブログは米国で2019年04月30日に公開されたUnit 42ブログ「Muhstik Botnet Exploits the Latest WebLogic Vulnerability for Cryptomining and DDoS Attacks」の日本語翻訳です。
エグゼクティブサマリー
2019年4月28日、パロアルトネットワークス脅威インテリジェンス調査チームUnit 42はLinuxボットネットMuhstikの新しい亜種を発見しました。この新しいバージョンは、2019年4月26日に公開された最新のWebLogic Server脆弱性(CVE-2019-2725)を悪用して脆弱なシステムに自分自身をインストールします。Oracleは本脆弱性について同日緊急パッチを公開済みです。弊社では、同社の緊急パッチにより、Muhstik最新亜種から正しく保護されることを確認済みです。
また私たちは、Muhstikの開発者が新しいLinuxサービスの脆弱性向けエクスプロイトを積極的に監視し、ただちにボットネットに悪用する様子をタイムラインから確認しています。この行動は理にかなっています。ボットネットに新しいエクスプロイトをなるべく早期に含めれば、システムへのパッチ適用前にこの脆弱性を悪用してより多くのボットを収集する可能性が高くなるからです。したがって、ボットネットとの競合プレッシャー下で、サービスベンダとユーザの両者が、おのおのパッチのリリース、インストールを行うことで、新しい脆弱性に対処する必要があります。
Muhstikボットネットは2018年3月から活動を続けており、LinuxサーバーやIoTデバイスに感染するワームのような自己増殖機能を備えています。これらを侵害後は通常、暗号通貨マイニングソフトウェアとDDoS攻撃を開始することで攻撃者に金銭的利益をもたらします。Muhstikは、WebLogic、WordPress、DrupalなどのさまざまなLinuxサービスに複数の脆弱性の悪用を利用して感染します。以前のMuhstikは古いWebLogicの脆弱性の悪用を採用していました(CVE-2017-10271)が、今回のエクスプロイトをツールキットに追加することで、感染可能なシステムの数を増やしています。
新しいWeblogic脆弱性のエクスプロイト
WildFire Linuxアナライザを使用して、3つの新しいMuhstikサンプルからのCVE-2019-2725 WebLogic脆弱性に対するエクスプロイトトラフィックをキャプチャしました。エクスプロイトのペイロードには、ダウンロード用シェルコマンドが1つだけ含まれています。これがwl.phpで、ダウンロード元 IPアドレスは165.227.78[.]159です。wl.phpは、現時点では正常にダウンロードできませんが、私たちはこれが PHPの webshell である可能性が非常に高いと考えています。
IPアドレス165.227.78[.]159は以前、Mushtikボットネットでレポート先サーバとして動作し、ボットの情報を収集していました。しかし今では、このIPアドレスはペイロードホストサーバーとしても使用されている可能性があります。
図1 新しいMuhstikサンプルからのエクスプロイトトラフィック
結論 / 緩和策
Oracle WebLogicのwls9-async RCEの脆弱性は、現在インターネット上で活発にMuhstikボットネットによって悪用されており、将来的には他のマルウェアファミリからも悪用される可能性があります。Oracleセキュリティアラートアドバイザリからの指示に必ず従ってください。
それまでの間、Palo Alto Networksのお客様は、以下のセキュリティプラットフォームからの保護によってこのエクスプロイトから保護されています。
- Threat Prevention シグネチャ55570がエクスプロイトコードを含むHTTPリクエストを識別します。
- PAN-DBが攻撃者のC2サーバーのIPとドメインを遮断します。
- WildFireとAntivirusは、Muhstikマルウェアを識別して遮断します。
侵害の痕跡(IOC)
サンプル
- e538026c0aa97deb2952afde3f8521be53ffb9ead6b6c349d6cd26942f609335
- 284f239d39ae24c7210179e4e7dc7c81e2374d12fe675cfd41d35681f3694e5a
- 53c70f6344246b1abdc2bc3fc3e7b43f853a4773b584805a50f8f71e8eca64e4
URL
- hxxp://165.227.78[.]159/wl.php