Redisは脅威アクターに狙われ続けるのか? | WhoisXML API

脅威レポート

Redisは脅威アクターに狙われ続けるのか?

Mushtik Gangは、「CVE-2022-0543」としても知られるRedisの脆弱性「Redis Lua Sandbox Escape and Remote Code Execution」を2022年3月に悪用した最初の攻撃グループの一つです。 1 以降、多くの攻撃者2 が同じバグを利用して攻撃を仕掛けてきました。

ある脅威グループによって使用された最新の攻撃ツールは、自己複製型のP2Pワーム「P2PInfect」です。今年7月に、P2PInfectの7つのセキュリティ侵害インジケーター(IoC)が公表されました。3

WhoisXML APIでは、未確認のRedis攻撃関連アーティファクトを検出するため、広範なDNSインテリジェンスを駆使してP2PInfectのIoCリストを拡張する調査を行いました。

今回のDNS調査により、以下が特定されました。

  • P2PInfectのIoCとして特定された1個のドメイン名と同様にworldive という文字列を含んだ6個のドメイン名
  • redisという文字列を含む10,000超のドメイン名。一括マルウェアチェックの結果、そのうち20個は悪意あるドメイン名に分類
  • redisという文字列を含む10,000超のサブドメイン。一括マルウェアチェックの結果、そのうち6個は悪意あるサブドメインと確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://cymulate.com/threats/muhstik-gang-targets-redis-servers-2/
  • [2] https://securityaffairs.com/139164/malware/redigo-malware-targets-redis-servers.html
  • [3] https://unit42.paloaltonetworks.com/peer-to-peer-worm-p2pinfect/#post-129197-_3s6epx4aqq4d

WhoisXML APIを無料でお試しください
トップページ