P2PInfectワームによるボットネットが中国、アメリカ、ドイツ、シンガポール、香港、イギリス、日本で拡大しているようです。ボット化すればDDoS攻撃などのサイバー攻撃やサイバー犯罪のインフラとして悪用されます。
既知の脆弱性CVE-2022-0543を悪用して感染
自ら複製して増殖していくタイプのマルウェアをワームと言いますが、ワーム型のマルウェアP2PInfectが拡大しているということです。P2PInfectは今年7月に発見されました。Unit42のブログによるとP2PInfectはLinuxとWindowsの両方のオペレーティングシステムに対応しており、既知の脆弱性CVE-2022-0543を悪用して感染するということです。CVE-2022-0543は組み込みシステム向けのプログラム言語Luaにおけるサンドボックスエスケープの脆弱性で、P2PInfectはこの脆弱性を悪用してクラウド環境でオープンソースデータアプリケーションのRedisに感染するということです。
Redisに感染したP2PInfectは、P2P(Peer to Peer)ネットワークへの通信を確立する初期ペイロードを投下し、P2P接続が確立されると追加の悪意あるバイナリーをダウンロードするということです。そしてP2Pネットワークに参加してボット化し、クラウドコンテナ環境内で動作・増殖するということです。P2PInfectのボットネットを観測しているCado Security Labsによると、P2PInfectにより侵害されたと特定されるIPの59.8%は中国にあるということです。これはP2PInfectのボットネットが中国で発生した可能性を示唆しているということです。P2PInfectのボットネットはその半分以上が中国で形成されているものの、15%はアメリカ、次いでドイツ、シンガポール、香港、イギリス、日本と続いており、アジアと欧米で拡大している実態があるようです。
目的は暗号資産の不正なマイニング?
Cado Security Labsによると、P2PInfectのトラフィックは8月28日以降600倍に増加、9月12日から19日の1週間で3619件のイベントが観測され、P2PInfectの活動は急速に拡大しているということです。一方でP2PInfectの開発者は新しい亜種をリリースしてペイロードの機能を繰り返し更新するなどしているということです。Cado Security LabsはP2Pinfectの開発者はマルウェアの機能強化とボットネットの拡大を目論んでいることは明らかだと分析しています。ただし、P2PInfectボットネットが何を目的としているのかは今のところ明らかではないようです。
Unit42によると、P2PInfectツールキット内には「miner(マイナー)」という単語が何度か出てくるということなので、あるいは暗号資産のマイニングを不正に行うクリプトジャッキングが目的なのかもしれません。Cado Security Labsによるとボットネット内のIPの35.5%はアジア太平洋地域の大手クラウドプロバイダー、アリババの杭州支店が所有しているもので、14.4%はテンセントの深セン支店、11.2%はAmazonだということです。そして、こうした実態はこれまでのクリプトマイニングマルウェアのキャンペーンにおいても観測されていることだということです。ただし、Unit42はP2PInfectボットネットによってクリプトマイニングが行われている実態は見つかっていないとしています。
いずれにしてもP2PInfect は7月に初めて発見され、ボットネットが急速に拡大しており、マルゥエアとしての機能も繰り返し強化が図られている初期段階にあるようです。今後、第2段階が展開される可能性が高いと言えます。P2PInfectボットネットは既知の脆弱性であるCVE-2022-0543を悪用して拡大しており、この脆弱性はオープンソースのRedisが対象になっているということです。日本においてもボットネットが形成されているようですから、オープンソースのRedis を使用しているユーザーは早急にCVE-2022-0543 に対処する必要があります。
■出典
https://unit42.paloaltonetworks.jp/peer-to-peer-worm-p2pinfect/