コンテンツへスキップ
ホーム » MeshAgent C2を検知:潜在的マルウェア攻撃を予防する方法

MeshAgent C2を検知:潜在的マルウェア攻撃を予防する方法

最近、北朝鮮のハッキンググループ「Andariel(アンダリエル)」が MeshAgent C2サーバーを利用して韓国企業にマルウェアを配布した事件が起きました。Andarielは、「fav.ico」のいう名でMeshAgent C2サーバーを外部ソースからダウンロードし、ラテラルムーブメントの過程でAndarLoaderとModeLoaderのようなマルウェアを攻撃対象に配布したと知られています。

MeshAgent C2サーバーのインストールログ
MeshAgent C2サーバーのインストールログ

MeshAgentとは、リモートコントロールのための基本情報収集、コマンド実行、RDPおよびVNC機能、電源およびアカウントコントロールなど、様々な機能を提供するリモート管理ツールです。Andarielは初めてMeshAgentをエクスプロイトしたと知られていますが、MeshAgent C2サーバーを利用したサイバー攻撃は頻繁に発生してきました。Andarielも一般的に攻撃対象にインストールされているソフトウェアを悪用したり、脆弱性攻撃を通じてマルウェアを配布するハッキンググループであるため、今後、MeshAgentを利用したサイバー攻撃はさらに増える恐れがあります。

外部公開された MeshAgent C2サーバーを検知

検索エンジンのCriminal IPでは、MeshAgent C2サーバーがインストールされたIPアドレスをタグしているのでIT資産検索でtagフィルターを活用し、MeshAgent C2サーバーを探してみました。

Search Query: tag: “c2_meshagent”

Criminal IPのIT資産検索でtagフィルターを利用し、公開された MeshAgent C2サーバーを検索した結果
Criminal IPのIT資産検索でtagフィルターを利用し、公開されたMeshAgent C2サーバーを検索した結果

MeshAgent C2サーバーは、総計2,136台検知され、この中でいくつのサーバーは攻撃のために攻撃者が悪意的に仕込んだ痕跡かもしれません。また、これからMeshAgentを用いるサイバー攻撃がさらに活発になる恐れがあるため、悪意的な目的でインストールされたサーバーではなくても、外部公開の場合は攻撃の対象になる可能性が一段と高くなります。C2サーバーの悪用は、マルウェアの配布だけではなく、ボットネットを通じたDDoS攻撃や暗号通貨採掘のような悪意的活動を可能にさせたり、情報を盗んだり、システム内部の脆弱性を悪用した追加的な攻撃につなげたりする可能性があります。特に、企業を狙うハッキング攻撃は、個人情報および重要な情報漏れは無論、金銭的な被害をもたらし、企業の信頼性を阻害する要因となります。

最も多いMeshAgentサーバーが公開されている国は682台を保有するアメリカであり、ドイツとロシアがその後を継ぎました。日本は9台検知されました。

Criminal IPで確認した公開された MeshAgent C2サーバーの国の統計
Criminal IPで確認した公開されたMeshAgent C2サーバーの国の統計

公開されたリモート管理ページとC2サーバー

検索結果でオープンソースリモートモニタリングおよび管理サーバーの「MeshCentral」のログインページが公開されたIPアドレスも確認できました。このようにリモート管理システムのログインページが外部公開されていることはサーバー侵入とリモートコントロール機能のハッキングの脅威にさらされていることを意味します。ハッカーはクレデンシャルスタッフィング、デフォルトパスワード、ソーシャル・エンジニアリングまたは、感染したソフトウェアを通じてユーザーのアカウント情報を調べだし、内部システムへのアクセスを試みるためです。

以下の画面のように外部公開されたリモートコントロールシステムは、外部のアクセスをブロックし、許可されたアクセスのみ入れるように迅速な措置が必要です。

外部公開されたオープンソースリモートモニタリングおよび管理サーバー「MeshCentral」のログインページ
外部公開されたオープンソースリモートモニタリングおよび管理サーバー「MeshCentral」のログインページ

今回のマルウェア配布攻撃に使用されたMeshAgent C2以外にもC2サーバーは、多様なサイバー攻撃に悪用されています。既にCIPブログではC2フレームワークを悪用した軍ドキュメントのダークウェブ流出を扱ったことがあり、C2サーバーを悪用して悪意的なネットワーク活動を行うIPアドレスの検知方法を紹介しました。ブログで紹介したクエリ以外にも以下のCriminal IPのC2タグを利用してサイバー攻撃に悪用される可能性のあるC2サーバーを検知することができます。

tag: “C2”

tag: “c2_covenant”

tag: “c2_metasploit”

tag: “c2_posh”

Criminal IPのIT資産検索でtag: "C2"を検索した結果
Criminal IPのIT資産検索でtag: “C2″を検索した結果

自社のシステムにインストールされたC2サーバーの公開可否とC2サーバーがインストールされたIPアドレスの内部へのアクセスを検知することはセキュリティ面で重要な情報であるほど、Criminal IPのタグクエリはサイバーセキュリティおよび対応プロセスを合理化するうえでとても有用です。

Criminal IPのC2タグは、「プロ」以上のプランから利用でき、関連してコバルトストライク・ランサムウェア:軍ドキュメントのダークウェブ流出の原因をご参照ください。 

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP(https://www.criminalip.io/ja

ご参照: 

https://criminalipdotcodotjp.wpcomstaging.com/2023/07/27/%e3%82%b3%e3%83%90%e3%83%ab%e3%83%88%e3%82%b9%e3%83%88%e3%83%a9%e3%82%a4%e3%82%af%e3%83%bb%e3%83%a9%e3%83%b3%e3%82%b5%e3%83%a0%e3%82%a6%e3%82%a7%e3%82%a2
タグ:

コメントを残す

Criminal IP(クリミナルアイピー)をもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む