Linuxを標的としたマルウェアの感染件数は、2021年に35%増加したことがわかりました。
CrowdStrike社の脅威遠隔測定によると、モノのインターネット(IoT)デバイスに一般的に導入されているLinuxベースのオペレーティングシステムを標的としたマルウェアは、2020年と比較して2021年に35%増加しており、上位3つのマルウェアファミリーが2021年のLinuxベースのIoTマルウェア全体の22%を占めています。
XorDDoS、Mirai、Moziは、2021年に最も多く観測されたLinuxベースのマルウェアファミリーであり、Moziは2020年と比較して2021年のイン・ザ・ワイルドのサンプル数が10倍と大幅に増加しています。これらのマルウェアファミリーの主な目的は、インターネットに接続された脆弱な機器を侵害してボットネットに集め、それを使って分散型サービス拒否(DDoS)攻撃を行うことです。
DDoS攻撃以外にも、Linux IoTデバイスは暗号通貨のマイニング、スパムメール攻撃の促進、リレー、コマンド&コントロールサーバーとしての役割、さらには企業ネットワークへの侵入口としても攻撃の対象となっています。
2021年の攻撃データを調べたCrowdstrike社のレポートでは、次のようにまとめられています。
- 2021年には、Linuxシステムを標的としたマルウェアが、2020年に比べて35%増加
- XorDDoS、Mirai、Moziの3つのファミリーが最も多く、2021年に観測されたLinuxを標的としたマルウェアの攻撃全体の22%を占めた
- 特にMoziは、その活動が爆発的に拡大し、前年に比べて10倍のサンプルが現実世界で使用
- XorDDoSは、前年比で123%という顕著な増加
マルウェアの概要
XorDDoSは、ARM(IoT)からx64(サーバー)まで、複数のLinuxシステムアーキテクチャで動作する汎用性の高いLinuxトロイの木馬です。C2通信にXOR暗号を使用するため、この名前になっています。
IoTデバイスを攻撃する場合、XorDDoSはSSH経由で脆弱なデバイスをブルートフォースします。Linuxマシンではポート2375を使用してホストへのパスワードなしのルートアクセスを獲得します。
2021年には、「Winnti」と呼ばれる中国の脅威グループが、他の派生型ボットネットと一緒にこのマルウェアを展開しているのが観測され、注目すべき事例が示されました。
Moziは、ネットワークトラフィック監視ソリューションから不審なC2通信を隠すために、分散型ハッシュテーブル(DHT)ルックアップシステムに依存するP2Pボットネットです。
このボットネットはしばらく前から存在しており、継続的に脆弱性を追加し、標的範囲を拡大しています。
Miraiは、ソースコードが公開されているために多数の被害者を生み出し、IoTの世界を悩ませ続けている有名なボットネットです。
さまざまな派生型は異なるC2通信プロトコルを実装していますが、いずれも典型的には脆弱な認証情報を悪用して機器にブルートフォースで侵入します。
2021年に家庭用ルーターを攻撃対象とした「Dark Mirai」や、カメラをターゲットにした「Moobot」など、いくつかの注目すべきMiraiの亜種が発見されています。
2020年と比較して、2021年には3つの亜種の識別されたサンプル数がそれぞれ33%、39%、83%増加しています。
2022年にも続く傾向
2020年の統計を分析したIntezer社のレポートでは、2020年にLinuxのマルウェアファミリーが前年に比べて40%増加したことがわかりました。
2020年の最初の6ヶ月間では、Golangマルウェアが500%の急上昇を記録しており、マルウェア作者が自分のコードを複数のプラットフォーム上で動作させる方法を模索していることを示しています。
このプログラミング言語の使用とターゲティングの傾向は、2022年初頭の事例ですでに確認されており、今後も衰えることなく続くと思われます。
Comments