New Undetectable Plague Malware Targeting Linux Servers for Persistent SSH Access
2025/08/02 gbhackers — Plague と呼ばれる高度な Linux バックドアが、nextron のセキュリティ研究者たちにより発見された。これまでの1年間において、 VirusTotal に複数の Plague サンプルがアップロードされていたが、主要なアンチウイルス・エンジンによる検出は成功していない。この悪意のソフトウェアは、Pluggable Authentication Module (PAM) として動作し、攻撃者によるシステム認証の回避を達成し、侵入した Linux システムへの継続的な SSH アクセスを可能にする。
1年間の活動とゼロ回の検出
この Plague バックドアは、従来からの検出方法を完全に回避する設計となっているため、深刻なセキュリティ上の懸念を生み出している。
2024年から2025年にかけて、VirusTotal に複数の亜種が提出されていたが、すべてのテストされた 66種類のアンチウイルス・エンジンは、サンプルに対して悪意のフラグ付けに失敗している。
脅威ランドスケープの分析により、攻撃者による活発な開発と適応の傾向が明らかとなっている。一連のサンプルは、様々な時期と環境において、異なる GCC コンパイラ・バージョンを用いてコンパイルされていた。
最も古いサンプルは 2024年7月に遡り、最新のものは 2025年3月にまで及ぶ。
コンパイル・アーティファクトが示すのは、Debian や Ubuntu システムなどの多様な Linux ディストリビューションの使用であり、さまざまな環境へ向けて広く展開されている状況が示唆される。
特に興味深い “hijack” というサンプルには、このマルウェアの起源を解明する手がかりが、含まれている可能性があるという。また、難読化が解除されたコードには、1995年の映画 “Hackers” への隠された言及が含まれており、”Mr. The Plague ハッカーがいるようだ ” というメッセージが表示されるという。
高度な難読化とステルス機能
Plague は、検出および分析を回避するために設計された、高度な機能を備えている。
このバックドアは、進化を続ける文字列の難読化技術を活用しており、単純な XOR ベースの暗号化から、Key Scheduling Algorithm (KSA) および Pseudo-Random Generation Algorithm (PRGA) ルーチンに類似する、複雑な手法へと進化している。
また、最新の亜種には、Deterministic Random Bit Generator (DRBG) レイヤーが追加されており、さらに分析を困難にしている。
主要な技術面での機能は以下の通りである。
- 実際のファイル名が “libselinux.so.8” であることを検証し、環境変数に “ld.so.preload” が存在しないことを保証するアンチデバッグ機構。
- サンドボックス環境やプリロード機構を利用するデバッグ・ツールに対する、環境検出機能による識別および回避。
- “SSH_CONNECTION” や “SSH_CLIENT” などの、SSH 関連変数の設定を解除することで、ランタイム環境の積極的なサニタイズを実施。
- HISTFILE を “/dev/null” へとリダイレクトすることで、シェル・コマンドのログ出力を防止し、監査証跡を消去。
.webp)
これらの機能により、Plague マルウェアは検知されることなく動作し、対話型セッションおよびシステム履歴ログの双方から、攻撃者の活動の足跡を体系的に削除していく。
検出方法とセキュリティへの影響
セキュリティ研究者たちは、この脅威に対抗する専用のツールを開発している。その中には、IDA Pro の Unicorn エミュレーション・フレームワークを用いた、カスタム文字列難読化解除ユーティリティも含まれる。
このツールは、悪意のコードを実行することなく、マルウェアの復号ルーチンを安全にエミュレートするものであり、難読化技術が進化したとしても、アナリストによる暗号化された文字列の抽出と、注釈付けを可能にするものだ。
“Mvi4Odm6tld7″/”IpV57KNK32Ih”/”changeme” などの複数のサンプルにおいて、ハードコードされたパスワードが確認されており、適切な認証を必要としない不正アクセスを許す結果となっている。
それに対して研究者たちは、”decrypt_phrase”/”init_phrases” などの、複数の亜種に共通して現れる関数名を標的とした、YARA 検出ルールを公開している。
Plague の発見で明らかにされたのは、PAM のような基盤的なシステム・コンポーネントが、高度な攻撃に対して脆弱性を有していることだ。
Plague は、システムのアップデート後も存続し、フォレンジック上の痕跡を最小限に留めるという能力を示しており、Linux インフラが直面する脅威環境の変化を物語っている。
この事例が浮き彫りにするのは、従来のウイルス対策ソリューションを超えた行動分析および、特殊な検出ツールによるプロアクティブな脅威ハンティングの重要性である。
侵害の兆候 (IoC)
| SHA-256 | Size (KB) | Filename | First Submission | Submit From | Compilation Artifacts |
|---|---|---|---|---|---|
| 85c66835657e3ee6a478a2e0b1fd3d87119bebadc43a16814c30eb94c53766bb | 36.18 | libselinux.so.8 | 2024-07-29 17:55:52 |  USA | GCC: (Debian 10.2.1-6) 10.2.1 20210110 |
| 7c3ada3f63a32f4727c62067d13e40bcb9aa9cbec8fb7e99a319931fc5a9332e | 41.65 | libselinux.so.8 | 2024-08-02 21:10:51 | USA | GCC: (Debian 10.2.1-6) 10.2.1 20210110 |
| 9445da674e59ef27624cd5c8ffa0bd6c837de0d90dd2857cf28b16a08fd7dba6 | 49.55 | libselinux.so.8 | 2025-02-04 16:53:45 | USA | GCC: (Ubuntu 13.3.0-6ubuntu2~24.04) 13.3.0 |
| 5e6041374f5b1e6c05393ea28468a91c41c38dc6b5a5230795a61c2b60ed14bc | 58.77 | libselinux.so.8 | 2025-02-09 21:27:32 | USA | GCC: (Ubuntu 13.3.0-6ubuntu2~24.04) 13.3.0 |
| 6d2d30d5295ad99018146c8e67ea12f4aaa2ca1a170ad287a579876bf03c2950 | 49.59 | hijack | 2025-02-10 03:07:24 |  CHINA | GCC: (Ubuntu 9.4.0-1ubuntu1~20.04.2) 9.4.0 |
| e594bca43ade76bbaab2592e9eabeb8dca8a72ed27afd5e26d857659ec173261 | 109.67 | libselinux.so.8 | 2025-02-13 22:58:43 UTC | USA | stripped |
| 14b0c90a2eff6b94b9c5160875fcf29aff15dcfdfd3402d953441d9b0dca8b39 | 41.77 | libse.so |
Plague という Linux バックドアは、PAM に偽装して侵入し、SSH 経由で継続的にアクセスできるように設計されているとのことです。OS の認証機構が狙われており、従来のウイルス対策では検知されず、高度な難読化やアンチデバッグ技術が使われていたことで、発見が遅れたようです。Linux を、ご利用のチームは、十分に ご注意ください。よろしければ、Linux で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.