Linux 環境を標的とするマルウェア:驚異について VMware が解説

How cybercriminals are using malware to target Linux-based operating systems

2022/02/09 HelpNetSecurity — 最も一般的なクラウド・オペレーティング・システムである Linux は、デジタル・インフラの中核を成しており、マルチ・クラウド環境に侵入する攻撃者のチケットになり始めている。現在のマルウェア対策は、主に Windows ベースの脅威への対応に重点が置かれており、Linux ベースのクラウド・ワークロードを標的とした攻撃に対して脆弱であることが、VMware によって明らかにされている。サイバー犯罪者が Linux ベースの OS を標的とするマルウェアを、どのように使用しているかを詳しく説明した主な調査結果は以下の通りである。

  • ランサムウェアは、仮想化環境でワークロードの実行に使用されるホスト・イメージをターゲットに進化している。
  • クリプト・ジャッキング攻撃の 89% が XMRig 関連のライブラリを使用している。
  • Cobalt Strike のユーザーの半数以上が、サイバー犯罪者である可能性があり、また、Cobalt Strike を不正に使用している可能性がある。

    VMware の Senior Director of Threat Intelligence である Giovanni Vigna は、「サイバー犯罪者は、可能な限り少ない労力で最大限の効果を上げるために、Linux ベースの OS を標的としたマルウェアを攻撃ツール・キットに加え、その範囲を劇的に拡大している。サイバー犯罪者は、エンド・ポイントを感染させてから、より価値の高いターゲットに移動するのではなく、1台のサーバを侵害することで、求めていた大規模な報酬とアクセスを得られることを発見した」と述べている。

    彼は、「攻撃者は、重要なインフラ・サービスや機密データへのアクセスを提供するという点で、パブリック・クラウドとプライベート・クラウドの両方を、価値の高いターゲットとみなしている。残念なことに、現在のマルウェア対策は、Windows ベースの脅威への対応に主眼が置かれている。したがって、パブリック・クラウドやプライベート・クラウドの多くの環境は、Linux ベースの OS への攻撃に対して脆弱な状況となっている」とも指摘している。

    急速に変化する脅威の状況の中で、Linux ベースの OS を標的とするマルウェアが増加しているため、企業は脅威に対する検知を、より重視する必要がある。

ランサムウェアはクラウドを標的にして最大の被害をもたらす

クラウド環境を標的としたランサムウェア攻撃は、壊滅的な被害をもたらす可能性があり、組織における主要な侵害原因の1つとなっている。この種の攻撃は、データ流出と組み合わせて行われることが多く、成功の確率を高める二重の恐喝スキームが実施される。新たな動きとしては、Linux ベースのランサムウェアが、仮想化環境でワークロードを実行させるためのホスト・イメージを狙うようになってきている。

攻撃者は、ターゲットに最大のダメージを与えるために、クラウド環境で最も価値のある資産を探している。たとえば、ESXi サーバーのホスト・イメージを暗号化するランサムウェア Defray777 や、Colonial Pipeline のネットワークを麻痺させ、米国全土でガソリン不足を引き起こしたランサムウェア DarkSide などがある。

Monero の採掘に XMRig を用いるクリプト・ジャッキング攻撃

金銭的な報酬を直ちに得たいサイバー犯罪者は、2つのアプローチの、いずれかを用いて暗号通貨を狙うことが多い。1つ目は、ウォレットを盗む機能を搭載したマルウェアによる攻撃であり、2つ目は、盗んだ CPU サイクルを収益化して、暗号通貨を採掘するクリプト・ジャッキングという攻撃である。大半のクリプト・ジャッキング攻撃は、Monero 通貨 (XMR) の採掘に焦点を当てており、VMware TAU は、クリプト・マイナーの 89% が XMRig 関連のライブラリを使用していることを発見している。したがって、Linux のバイナリに XMRig 固有のライブラリやモジュールが確認された場合には、悪意のクリプト・ジャッキング行為の証拠となる可能性が高い。

Linux ベースの暗号通貨採掘者が最も使用する技術に、防御回避がある。残念ながら、クリプト・ジャッキング攻撃は、ランサムウェアのようにクラウド環境の運用を完全に破壊するものではないため、検出することがはるかに困難となる。

Cobalt Strike は攻撃者が選択するリモート・アクセス・ツール

攻撃者は、標的とする環境を継続的に制御するために、侵害したシステムにインプラントをインストールし、マシンの部分的なコントロールを試みる。インプラントとは、侵害したシステム上で使用される、マルウェア/ウェブシェル/RAT などであり、攻撃者によるリモート・アクセスを可能にするためのものだ。

攻撃者が使用する主要インプラントの1つに、商用のペネトレーション・テストおよびレッドチームのツールとして使用される Cobalt Strike と、その亜種である Linux ベースの Vermilion Strike がある。Cobalt Strike は、Windows の脅威から Linux OS での脅威へと拡大している。それは、可能な限り多くのプラットフォームをターゲットにしたい攻撃者が、容易に入手できるツールを望んでいるというニーズを表している。

2020年2月から2021年11月の間に、インターネット上で 14,000台以上の Cobalt Strike Team Server が発見された。クラックされて流出した Cobalt Strike 顧客 ID の割合は、合計で 56%である。つまり、Cobalt Strike ユーザーの半数以上がサイバー犯罪者の可能性があり、また、Cobalt Strike を不正に使用している可能性があることを意味する。Cobalt Strike や Vermilion Strike のような RAT が、サイバー犯罪者のコモディティ・ツールであり、企業にとって大きな脅威となっている。

VMware の Manager of Threat Research である Brian Baskin は、「我々が分析を行って以来、さらに多くのランサムウェア・ファミリーが、Linux 環境へと広がっていることが確認されており、Log4j の脆弱性を利用した攻撃が行われる可能性もある。本レポートで得られた知見は、Linux ベースのマルウェアの性質を深く理解し、ランサムウェア/クリプトマイニング/RAT が、マルチ・クラウド環境で増大する脅威を軽減するために活用できる。クラウドを標的とした攻撃が進化し続ける中、企業はゼロトラスト・アプローチを採用して、インフラ全体にセキュリティを組み込もうとしている。攻撃対象を構成する脅威ベクターに対して、体系的に対処する必要がある」と述べている。

現在のマルウェア対策は、Windows ベースの脅威への対応に主眼が置かれているため、Linux ベースの環境は脆弱であり、そこを突くマルウェアが増える状況にあるようです。Log4j の脆弱性についても軽く触れられていますが、2021年12月17日の時点で「Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める」という記事があるくらい、この環境はターゲットになりやすいのでしょう。

%d bloggers like this: