トレンドマイクロ株式会社は1月19日、Huawei Cloud上のサービスを狙う新規Linuxマルウェアの攻撃手口をブログで解説している。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】
特定のクラウドサービスを狙ったマルウェアについて発表されています。暗号資産のマイニングやクリプトジャッキングを目的とした脅威の新たな手口について説明します。
今回の記事では、Huawei Cloudを標的としたLinux向けマルウェアの新たな手口について説明されています。マルウェアは、Huawei Cloud Linuxが持つセキュリティ機能の一つを無効化し、ECSインスタンスのパスワードをリセットするプラグインも含まれているため、攻撃者はHuawei Cloudの脆弱なECSインスタンスを標的にしていると推測されています。そして、今回の攻撃手口は、2020年にも見られたマルウェアの動作と酷似しており、関連性についても指摘されています。
さらに、マルウェアにはTorのプロキシサービスをインストールする特徴が挙げられており、マルウェアによる不正な通信が匿名化されることについても言及されています。Torとは「The Onion Router」の略で、ネットワーク通信の接続経路を匿名化するためのソフトウェアです。匿名化するために「玉ねぎ」の皮のように何重にも暗号化することから、IPアドレスに基づいて攻撃者を追跡することが困難になります。
今回発表されているマルウェアの特徴として「特定のクラウドサービスを標的にしていること」「別の攻撃者を排除しようとしていること」「何重にも解析できないように対策していること」が挙げられます。できるだけわかりやすく説明します。
まず、「特定のクラウドサービスを標的にしていること」については、先ほど説明した通りです。攻撃者が比較的新しいHuawei Cloudを標的にしている背景として、AWSやAzureと比べて実績が少なく、クラウドサービスの設定ミスが起きやすい現状が考えられます。攻撃者はこのような状況を鑑みて、あえて標的を絞ってきたのではないでしょうか。
次に「別の攻撃者を排除しようとしていること」については、マルウェアに感染した端末のリソースを独占しようとしていることが考えられます。具体的には、マルウェアが感染した端末のSSH鍵をすべて削除して自分の鍵のみを追加します。さらに、他の攻撃者と思われるユーザも削除し、自分のユーザを目立たない名前で追加します。そして、これらの設定が変更できないように制限しています。これらは、暗号資産のマイニングは多くのリソースを消費するために、他の攻撃者を排除することによって、より多くの利益を得ようとしていることが考えられます。
最後に、「何重にも解析できないように対策していること」については、先ほど説明したTorに加えて、プログラム自体も解析されないように難読化されています。より検出を困難にする投資に見合うだけの利益が期待できるのかもしれません。
マルウェアとみなされる要件は「利用者の意図に反しているか」と「社会的に許容されない不正か」の2つを満たすかによって判断されているようです。コインハイブの裁判を振り返りながら説明します。
今回は、クラウドを狙ったマルウェアの新たな手口とコインハイブの裁判についてお届けしました。生活をより豊かにしていくために新しい技術は必要不可欠ですが、その技術が正しく使われるためにも、利用者のモラルがより強く求められるということになります。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
