ハッカーがApacheの脆弱性を利用してLinuxsys暗号資産マイナーのペイロードを投入

2025-07-17 16:09:52

ホームニュース* 研究者たちは、Apache HTTP Serverの既知の脆弱性を利用してLinuxsys暗号通貨マイナーを展開する新たな攻撃を発見しました。

攻撃者は、侵害された正当なウェブサイトとCVE-2021-41773パス・トラバーサルの脆弱性を利用して、検出を回避しマルウェアを拡散します。
マルウェアはシェルスクリプトを通じて配布され、システム再起動後に自動的に起動します。証拠はこの脅威がWindowsシステムも標的にしていることを示しています。
このキャンペーンは、さまざまな既知のソフトウェアの脆弱性を利用しており、不正なコインマイニングのための長期的かつ協調的な取り組みを示唆しています。
別のキャンペーンは、アジアの政府のエクスチェンジサーバーを標的にするために、GhostContainerと呼ばれる高度なバックドアを使用してスパイ活動を行っています。サイバーセキュリティ企業は、攻撃者がApache HTTP Serverのセキュリティの脆弱性を利用して、Linuxsysという名前の暗号通貨マイニングツールを配布する新しいマルウェアキャンペーンを特定しました。この攻撃は、2025年7月に検出され、特にApacheバージョン2.4.49のCVE-2021-41773バグを狙っており、脆弱なサーバー上で不正なユーザーがリモートでコードを実行できるようにします。

広告 - 脅威アクターは、正当なウェブサイトを侵害し、それらを配信ポイントとして使用することによってマルウェアを配布します。VulnCheckによると、攻撃者はインドネシアのIPアドレスから感染を開始し、「repositorylinux[.]org」というダウンロードサーバーを利用して悪意のあるシェルスクリプトを取得します。これらのスクリプトは、さまざまな信頼できるドメインからLinuxsysマイナーをダウンロードする責任があり、接続が有効なSSL証明書を使用しているため、検出が難しくなります。

シェルスクリプトはインストールプロセスを自動化し、システムが再起動するたびにマイナーが起動することを保証する別のスクリプト「cron.sh」をドロップします。VulnCheckは、侵害されたサイトのいくつかにWindowsマルウェアファイルが含まれていることを観察し、このキャンペーンの範囲がLinuxシステムを超えている可能性があることを示しています。攻撃者は以前、OSGeo GeoServer GeoTools (CVE-2024-36401)の欠陥などの重大な脆弱性を悪用して、同様のマイニング活動を行ってきました。マルウェアのソースコード内のコメントはスンダ語で書かれており、インドネシアとの関連を示唆しています。

過去の攻撃でマイナーを展開するために使用された他のソフトウェアの脆弱性には、Atlassian Confluence におけるテンプレートインジェクション (CVE-2023-22527)、Chamilo LMS におけるコマンドインジェクション (CVE-2023-34960)、Metabase および Palo Alto ファイアウォールにおける同様の欠陥 (CVE-2024-0012 と CVE-2024-9474) が含まれます。「これらすべては、攻撃者が長期的なキャンペーンを展開しており、n-day 攻撃、侵害されたホスト上でのコンテンツのステージング、被害者のマシンでのコインマイニングといった一貫した手法を用いていることを示しています」と、VulnCheck は報告しています。

別の事件では、カスペルスキーがアジアの政府サーバーに対する標的攻撃について警告しました。この攻撃はGhostContainerというカスタムマルウェアを使用して行われました。攻撃者はMicrosoft Exchange Serversのリモートコード実行バグ(CVE-2020-0688)を悪用した可能性があります。このバックドアは、外部のコマンドセンターに接続することなく、侵害されたサーバーへの完全なアクセスを可能にし、通常のウェブリクエストの中に指示を隠すことで、 stealthを高めています。

このキャンペーンは、公に知られているソフトウェアの欠陥を持続的に標的にすることと、マイニングおよびスパイ活動を行う際に低いプロファイルを維持するための洗練された戦術を示しています。

####前の記事: