Wormable DarkRadiation Ransomware Targets Linux and Docker Instances
2021/06/22 TheHackerNews — このランサムウェアは、すべてが Bash で実装されており、Linux や Docker クラウド・コンテナを標的とし、メッセージング・サービス Telegram を command-and-control (C2) 通信に利用している。Trend Micro の研究者たちは、先週に発表したレポートの中で、「このランサムウェアは、Bash スクリプトで書かれており、Red Hat/CentOS および Debian の Linux ディストリビューションをターゲットにしている。
そして、OpenSSL の AES アルゴリズムを CBC モードで使用し、様々なディレクトリのファイルを暗号化する。また、Telegram の API を使用して、脅威アクターたちに感染状況を送信する」と述べている。この記事を執筆している時点では、配信方法に関する情報は得られておらず、このランサムウェアによる攻撃が展開されたという証拠も得られていない。
今回の調査結果は、この未確認の脅威行為者のインフラである、IPアドレス185.141.25.168 上の api_attack と呼ばれるディレクトリにホストされている、ハッキングツールのコレクションを分析したものだ。このツールセットは、5月28日に Twitter ユーザーの @r3dbU7z が注目していたものである。DarkRadiationの 感染経路には、複数の段階の攻撃プロセスが含まれており、マルウェアの取得とファイルの暗号化を行うための Bash スクリプトや、ハードコードされた API キーを介して、C2 サーバーと通信するための Telegram API を多用している点が注目されている。
DarkRadiation は、API を通じて犯罪者の Telegram チャンネルへ 、実行状況を伝えるだけではなく、暗号化キーも報告すると、この記事は指摘しています。そして、感染したマシン上で実行中の、すべての Docker コンテナを停止・無効化する機能も備えており、その後に、ユーザーに身代金請求書を表示するようです。SentinelOne の研究者たちは、「Shell スクリプト言語で書かれたマルウェアは、多目的な利用が可能であり、一般的な検知手法を回避できる。さらに、セキュリティ・ソフトウェアの中には、静的なファイル・シグネチャに依存しているものがあるが、素早いイテレーションで回避することが可能だ。また、簡単な難読化ツールを使って、別のスクリプト・ファイルを生成することでも、容易に回避できる」と述べています。
IoT OT Security News 