Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増

Linux malware sees 35% growth during 2021

2022/01/15 BleepingComputer — Linux デバイスを標的としたマルウェアの感染件数は、2021年に 35%増加しており、その多くは DDoS 攻撃のための IoT デバイスの取り込みが目標となっている。IoT デバイスは多様な Linux ディストリビューションを実行するが、一般的にパワー不足のスマート・デバイスであり、その機能も特定の範囲に制限されている。しかし、それらのリソースが、大規模なグループにまとめられると、十分に保護されたインフラに対して大規模な DDoS 攻撃を仕掛ける能力を持つことになる。

DDoS 攻撃以外にも、Linux IoT デバイスは、暗号通貨の採掘/スパムメール・キャンペーン促進/中間者攻撃/Command and Control (C2) サーバーに利用され、さらには、企業ネットワークへの侵入口としても悪用される。2021年の攻撃データを調べた Crowdstrike のレポートは、次のようにまとめられている。

  • 2021年の Linux システムを標的としたマルウェアは、前年比で 35% の増加。
  • 最も普及しているファミリーは XorDDoS/Mirai/Mozi であり、2021年に観測された Linux 標的のマルウェア攻撃の 22% を占めた。
  • 特に Mozi は、その活動が爆発的に拡大し、前年比で 10倍のサンプルがワイルドに流通した。
  • また、XorDDoS は、前年比で 123% という顕著な増加を示した。

マルウェアの概要

XorDDoS は、ARM (IoT デバイス) から x64 (サーバー) までの、複数の Linux システム・アーキテクチャで動作する多目的 Linux トロイの木馬である。C2 通信で XOR 暗号を使用するため、この名前になっている。IoT デバイスを攻撃する場合、XorDDoS は SSH 経由で、脆弱なデバイスに対してブルートフォースを仕掛ける。Linux マシンの Port 2375 を介して、ホストへのパスワードなしのルートアクセスを獲得する。

2021年には、Winnti と呼ばれる中国の脅威アクターが、他の派生型ボットネットと一緒に、このマルウェアを展開している様子が観測され、注目すべき事例が示された。Mozi は、不審なC2通信をネットワーク・トラフィック監視ソリューションから隠すために、分散型ハッシュテーブル (DHT) Lookup システムに依存する P2P ボットネットである。このボットネットは以前から存在しており、継続的に脆弱性を追加し、標的範囲を拡大している。

Mirai は、ソースコードが公開されているため、数多くのフォークを生み出し、IoT の世界を悩ませ続けているボットネットである。さまざまな派生型は、異なる C2 通信プロトコルを実装しているが、いずれのケースにおいても、脆弱な認証情報を悪用してデバイスにブルートフォースで侵入するのが一般的だ。

2021年には、家庭用ルーターにフォーカスする Dark Mirai や、カメラをターゲットにする Moobot といった、いくつかの注目すべき Mirai 亜種が発見された。CrowdStrike の研究者である Mihai Maganu は、「私たちが追跡している、最も普及している亜種の中には、Sora/IZIH9/Rekai などが含まれている。2020年と比較して、2021年には3つの亜種のがサンプリングされ、それぞれが 33%/39%/83% というレベルで増加している」と、レポートの中で述べている。

2022年も継続するトレンド

Crowstrike の調査結果は、これまでの数年間に現れた、継続的なトレンドを裏付けるものであり、驚くべきものではない。たとえば、2020年の統計を分析した Intezer のレポートでは、2020年の Linux マルウェア・ファミリーは、前年比で が40% 増加したことが分かった。


また、2020年の前半の6ヶ月間では、Golang 系マルウェアが 500% という急上昇を記録しており、複数のプラットフォームで動作するコードを、マルウェア作者が模索していることが示されている。この種のプログラミング手法や、ターゲティング選択の傾向は、2022年初頭の事例でも確認されており、今後も衰えることなく続くと思われる。

Linux にマルウェアが増えているとのことですが、その背景には、増え続ける脆弱性と、それを突くサイバー攻撃の件数という現実があります。最近のポストとして、2021年11月4日の「Linux カーネル TIPC における深刻な RCE 脆弱性が Ver 5.15 で FIX」、11月18日の「Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる」、11月25日の「Linux CronRAT という強敵:2月31日に設定されたタスクで Magecart 攻撃を実行」などがあります。よろしければ、Linux で検索も、ご利用ください。

%d bloggers like this: