DDoSボットネット「Tsunami」の新たな亜種がLinux SSHサーバーを標的に
保護の希薄なLinux SSHサーバーを狙ってDDoSボット「Tsunami」やShellBot、ログクリーナー、モネロマイナー XMRigといった多様なマルウェアをインストールしようとするハッキングキャンペーンの存在が、AhnLab Security Emergency response Center (ASEC) の研究者によって明かされた。その目的は、DDoS攻撃の実施や暗号資産モネロをマイニングすることだと思われる。
攻撃者はまず、脆弱なSSHサーバーへブルートフォース攻撃
攻撃者は、一般に公開された状態のLinux SSHサーバーを探し出すためにインターネットのスキャンを行う。そしてこれにより特定されたSSHサーバーに対し、考え得るユーザー名・パスワードの組み合わせをひたすらに試すというブルートフォース攻撃を実施する。こうしてログインに成功した攻撃者は、あるコマンドを呼び出し、bashスクリプトを介して複数のマルウェアのセットを実行するという。ダウンロードされるマルウェアには、DDoSボットネット、ログクリーナー、暗号資産マイナー、権限昇格ツールなどがあるとされる。
DDoSボットネットマルウェア「Tsunami」
Tsunami(別名「Kaiten」)はC2との通信にIRCプロトコルを用いるタイプのマルウェア(IRCボット)で、SYNフラッド、ACKフラッド、UDPフラッド攻撃など、さまざまなDDoS攻撃手法に対応している。また多様なリモートコントロールコマンドにも対応しており、シェルコマンドの実行、リバースシェルの確立、システム情報の収集、自己アップデート、追加ペイロードのダウンロード、自己破壊などを行えるという。
研究者によれば、Tsunamiボットのソースコードは一般に公開されていることから、さまざまな脅威アクターがこれを使って独自のボットネットを作成できるようになっているとのこと。今回ASECによって発見されたキャンペーンで使われていたTsunamiの亜種は「Ziggy」として知られるもので、自らを「/etc/rc.local」ファイルに書き加えることで持続性を維持するのだという。
TsunamiからSSHサーバーを守るには?
そもそもSSHとはリモートのマシンへのログインやファイル転送などの通信を行うためのネットワーク通信プロトコル。通信は公開鍵方式で暗号化されるが、SSHにおいて遠隔からログインを行う場合にはユーザー名とパスワードによる認証が利用される場合が多い。しかしパスワードが推測しやすいものだったり、短すぎたり単純すぎたりすると、ブルートフォースを行う攻撃者によって短時間で認証が破られてしまう恐れがある。
したがって今回のTsunamiボットによるキャンペーンのような攻撃からSSHサーバーを守るためには、強力なアカウントパスワードを設定する必要がある。ただし長く強力なパスワードであっても数日間かけて暴かれてしまう場合があるため、SSHサーバーへのログインにはSSHキー認証を利用することがより理想的だと思われる。
(情報源:SecurityAffairs ”New Tsunami botnet targets Linux SSH servers”、BleepingComputer ”Hackers infect Linux SSH servers with Tsunami botnet malware”、ASEC “Tsunami DDoS Malware Distributed to Linux SSH Servers”)
6月21日:その他の注目ニュース
インフォスティーラーが101,134件のChatGPTアカウントを侵害
SC Magazine US – Jun 20 2023 17:50
ダークウェブで取引されている数々のインフォスティーラーが、過去1年間に101,134台のデバイスに感染し、当該デバイスで使用されているChatGPTアカウントを侵害していたとの報道。スティーラー別に見ると、Raccoonスティーラーに感染した件数が最も多かったという。この事実は、Raccoonを開発しているグループが衰退したとはいえ、この種のインフォスティーラーがダークウェブで購入されると影響が尾を引くということを示している。
またCyware社リサーチ&イノベーション部門のAvkash Kathiriya氏は、Raccoonスティーラーのようなツールはあまりに広く普及しているため、セキュリティ意識の比較的高い組織によってブロックされた後でも生き続けることができると述べている。
さらにKathiriya氏は、多くの人が、審査や検証をすることなく重要なプロセスにChatGPTを組み込むことを急いでいるが、同ツールにはセキュリティ、プライバシー、知的財産権に関わる重大な問題があると指摘し、このままでは同技術が不注意で危険な形で適用されるのを見続けることになると警鐘を鳴らした。
Zyxel、NASデバイスの重大な欠陥に対処:CVE-2023-27992
Security Affairs – Jun 20 2023 14:08
Zyxelが、同社製NASデバイスに影響を与える重大な脆弱性CVE-2023-27992に対処するためのセキュリティアップデートをリリースした。CVE-2023-27992は認証不要のコマンドインジェクションの脆弱性で、CVSSスコアは9.8。遠隔の認証されていない攻撃者がこれを悪用すると、特別に細工されたHTTPリクエストを送信することによるOSコマンドの実行が可能になる恐れがあるという。
現在までにCVE-2023-27992が実際の攻撃で悪用されていることを示す兆候はないとされているものの、NASデバイスはランサムウェアやMiraiなどのマルウェアに狙われることが多いことから、Zyxel製品利用者には迅速なパッチ適用が推奨されている。