サイバー犯罪者は主にランサムウェアやクリプトジャッキングを使ってLinuxベースのシステムに焦点を当てている

サイバー犯罪者は主にランサムウェアやクリプトジャッキングを使ってLinuxベースのシステムに焦点を当てている

最も一般的なクラウド オペレーティング システムである Linux は、デジタル インフラストラクチャの中核部分であり、マルチクラウド環境への攻撃者の侵入口として急速に利用されつつあります。現在のマルウェア緩和戦略は、主に Windows ベースのシステムに対する脅威に対処するため、多くのパブリック クラウドおよびプライベート クラウドの展開が Linux ベースのワークロードを標的とした攻撃に対して脆弱なままになっています。

世界有数のエンタープライズ ソフトウェア革新企業である VMware (NYSE: VMW) は最近、脅威レポート「Linux マルチクラウド環境でのマルウェアの検出」(1) を発表しました。このレポートでは、サイバー犯罪者がマルウェアを使用して Linux ベースのオペレーティング システムを攻撃する方法について詳しく説明しています。報告書の主な調査結果は次のとおりです。

• ランサムウェアは、仮想環境でワークロードを生成するために使用されるLinux VMイメージに焦点を当てています。

• クリプトジャッキング攻撃の89%はXMRig関連のライブラリを使用している

• Cobalt Strike ユーザーの半数以上がサイバー犯罪者であるか、Cobalt Strike を違法に使用している可能性があります。

「サイバー犯罪者は、最小限のコストで最大限の効果を達成しようと、Linuxベースのオペレーティングシステムを標的とするマルウェアをツールキットに追加することで、攻撃対象領域を大幅に拡大しています」と、VMwareの脅威インテリジェンス担当シニアディレクター、ジョバンニ・ヴィニャ氏は述べています。 「サイバー犯罪者は、エンドポイントに感染することから始めて、より価値の高いターゲットへと進んでいくのではなく、最も多くの収益とアクセスを提供する個々のサーバーを侵害しています。攻撃者は、パブリック クラウドとプライベート クラウドを、重要なインフラストラクチャ サービスと機密データへのアクセスを提供する価値の高いターゲットと見なしています。残念ながら、マルウェア攻撃に対する現在の防御戦略は、依然として主に Windows ベースの脅威に対処することに重点を置いており、多くのパブリック クラウドとプライベート クラウドの展開が Linux オペレーティング システムに基づく攻撃に対して脆弱なままになっています。」

脅威の状況は急速に変化しており、Linux ベースのオペレーティング システムを標的とするマルウェアの量と高度化が進んでいるため、組織は脅威の検出にさらに注意を払う必要があります。このレポートでは、VMware の脅威分析ユニット (TAU) が、マルチクラウド環境における Linux ベースのオペレーティング システムに対する脅威 (ランサムウェア、暗号通貨マイナー、リモート アクセス ツール) を分析します。

ランサムウェアは被害を最大化するためにクラウドを標的にする

組織におけるデータ侵害の主な原因の 1 つとして、クラウド環境でのランサムウェア攻撃は壊滅的な結果をもたらす可能性があります (2)。クラウド展開に対するランサムウェア攻撃は標的を絞ったもので、成功の可能性を高めるためにデータ侵害と組み合わせて二重の恐喝を実行することがよくあります。新たな展開から、ランサムウェアは仮想環境でワークロードを生成するために使用される Linux VM イメージに重点的に取り組んでいることがわかります。攻撃者は現在、ターゲットに最大の損害を与えるために、クラウド環境内で最も価値のある資産を探しています。たとえば、Defray777 ランサムウェア ファミリは、ESXi サーバー上の仮想マシン イメージを暗号化します。そして、コロニアル・パイプラインのネットワークを混乱させ、米国全土でガソリン不足を引き起こした DarkSide ランサムウェア ファミリーです。

クリプトジャッキング攻撃はXMRigを使ってモネロを採掘する

手っ取り早く金銭を得ようとするサイバー犯罪者は、ウォレットを盗む機能をマルウェアに組み込んだり、盗んだ CPU サイクルから利益を得てクリプトジャッキングと呼ばれる攻撃で暗号通貨のマイニングを成功させたりして、暗号通貨を標的にすることがよくあります。ほとんどのクリプトジャッキング攻撃は、Monero 通貨 (XMR) のマイニングに重点を置いており、VMware Threat Analysis では、暗号通貨マイナーの 89% が XMRig 関連のライブラリを使用していることが判明しています。このため、Linux バイナリ内で XMRig 固有のライブラリとモジュールが特定された場合、それは悪意のある暗号通貨マイニング動作の証拠である可能性が高くなります。 VMware Threat Analysis では、防御回避が暗号通貨マイナーによって最もよく使用される手法であることも判明しました。残念ながら、クリプトジャッキング攻撃はランサムウェアのように展開されたクラウド環境を完全に侵害するわけではないため、検出がはるかに困難です。

Cobalt Strikeは攻撃者が好んで使うリモートアクセスツールです

攻撃者は、制御権を獲得し、環境内に留まるために、感染したシステムにインプラントをインストールし、マシンを部分的に制御できるようにしたいと考えています。マルウェア、Web シェル、リモート アクセス ツール (RAT) はすべて、感染したシステムで攻撃者がリモート アクセスを取得するために使用する可能性のあるインプラントです。攻撃者が使用する主なインプラントの 1 つは、Cobalt Strike と、最近の Linux ベースの Vermilion Strike の亜種です。 Cobalt Strike はすでに Windows 上で蔓延している脅威であったため、Linux ベースのオペレーティング システムへの拡大は、脅威の攻撃者がすぐに利用できるツールを活用してできるだけ多くのプラットフォームをターゲットにしたいと考えていることを示しています。

2020 年 2 月から 2021 年 11 月の間に、VMware Threat Analysis はインターネット上で 14,000 台を超えるアクティブな Cobalt Strike Team サーバーを発見しました。クラックされ漏洩した Cobalt Strike ユーザー情報の合計割合は 56% であり、これは Cobalt Strike ユーザーの半数以上がサイバー犯罪者であるか、少なくとも Cobalt Strike を違法に使用している可能性があることを意味します。 Cobalt Strike や Vermilion Strike などの RAT がサイバー犯罪者にとって一般的なツールとなっているという事実は、企業にとって大きな脅威となります。

「分析を実施して以来、古いランサムウェア ファミリーが Linux ベースのシステムを標的とするマルウェアに移行し、Log4j の脆弱性を悪用してさらなる攻撃を行う可能性があることがわかりました」と VMware の脅威調査マネージャー、ブライアン バスキン氏は述べています。 「このレポートの調査結果は、このマルウェアの性質をより深く理解し、マルチクラウド環境に対するランサムウェア、暗号通貨マイニング、RATの増大する脅威を軽減するために役立ちます。クラウドに対する攻撃が進化し続ける中、組織は対策を講じる必要があります。

<<:  コンテナオーケストレーション技術Kubernetesの包括的な分析

>>:  NoSQL の「先駆的取り組み」である Amazon DynamoDB の 10 年間のイノベーション

推薦する

Woothosting - 19 USD/年/200GB ハードドライブ/無制限の再販ホスティング

Woothosting は、サブアカウント、サブ配布アカウントの無制限の開設をサポートし、PHP バ...

アメリカ人男性が20万人以上の登録ユーザーを抱える農家向け出会い系サイトを開設

米国メディアの最近の報道によると、ジェリー・ミラーという名のアメリカ人男性が7年前に、特にアメリカの...

CIO が検討すべきクラウド移行のヒント 10 選

現在、企業の IT リーダーはさまざまなメリットを求めてクラウドに移行していますが、調査によると、ク...

携帯電話の通信を遮断しないという政策が正式に施行される

9月29日午後、大手3社は本日同時に通知を出し、携帯電話パッケージの月間通信量を未確定にするサービス...

Dogyun [USA-LA] ロサンゼルスデータセンター CN2 GIA Line VPS シンプルレビュー

Dogyun (狗云) の米国 VPS には現在、複数のデータ センターから選択できるオプションが ...

サンフォーはクラウドネットワーク品質テストの第1ラウンドに合格し、ハイブリッドクラウド業界パノラマの最終候補に選ばれました。

12月23日、中国情報通信研究院と中国通信標準化協会は北京で2021ハイブリッドクラウドカンファレン...

クラウドネイティブインフラストラクチャについて - EventMesh イベントドリブンメッシュ

今日はイベント駆動型メッシュであるEventMeshについてお話します。実際、クラウド ネイティブ ...

NFV におけるクラウドネイティブ VNF の重要性

仮想ネットワーク機能 (VNF) は、市販のハードウェア NFV インフラストラクチャ上に配置され、...

クラウドプラットフォームにおける人工知能の応用は2020年に爆発的な成長を示すだろう

アクセンチュアのアナリストは、2020 年に企業がより多くのイノベーションを獲得するのはクラウド プ...

Baiduプロモーションアシスタントキーワードマイニングツールの紹介と使い方

キーワードマイニングは私たちにとって最大の悩みの種です。お客様がどんな言葉を検索したいのか分からない...

企業がこれほど多くの広告を出すことは効果があるのでしょうか? 絡まりやすい5つの問題

私はいつも自分自身にこの質問をしてきました。誰かが広告を出しているのを見るといつも、私は尋ねたくなり...

「人造漢漢事件」から学ぶWeiboのマーケティング啓蒙

私は春節前からこの行事に注目してきましたが、私が注目する理由は、この行事が「誠実さ」と「独立した思考...

個人SEOの依頼を受ける際は、誇張せず現実的に

著者は3年間SEOに携わっています。最初の2年間は主に自分のサイトを最適化していました。1つは実践し...

検索エンジンによってウェブサイトが「誤って破壊される」問題を解決する方法について説明します

多くのウェブマスターは、ウェブサイトのランキングが突然消える状況に遭遇しています。この場合、ウェブマ...

質問: Zhongsou は本当に検索の未来を代表できるのでしょうか?

2012年、検索エンジンをめぐる戦いは非常に熾烈なものとなり、特に360が突如市場に参入し、停滞して...