サイバー犯罪者は主にランサムウェアやクリプトジャッキングを使ってLinuxベースのシステムに焦点を当てている

最も一般的なクラウド オペレーティング システムである Linux は、デジタル インフラストラクチャの中核部分であり、マルチクラウド環境への攻撃者の侵入口として急速に利用されつつあります。現在のマルウェア緩和戦略は、主に Windows ベースのシステムに対する脅威に対処するため、多くのパブリック クラウドおよびプライベート クラウドの展開が Linux ベースのワークロードを標的とした攻撃に対して脆弱なままになっています。

世界有数のエンタープライズ ソフトウェア革新企業である VMware (NYSE: VMW) は最近、脅威レポート「Linux マルチクラウド環境でのマルウェアの検出」(1) を発表しました。このレポートでは、サイバー犯罪者がマルウェアを使用して Linux ベースのオペレーティング システムを攻撃する方法について詳しく説明しています。報告書の主な調査結果は次のとおりです。

• ランサムウェアは、仮想環境でワークロードを生成するために使用されるLinux VMイメージに焦点を当てています。

• クリプトジャッキング攻撃の89%はXMRig関連のライブラリを使用している

• Cobalt Strike ユーザーの半数以上がサイバー犯罪者であるか、Cobalt Strike を違法に使用している可能性があります。

「サイバー犯罪者は、最小限のコストで最大限の効果を達成しようと、Linuxベースのオペレーティングシステムを標的とするマルウェアをツールキットに追加することで、攻撃対象領域を大幅に拡大しています」と、VMwareの脅威インテリジェンス担当シニアディレクター、ジョバンニ・ヴィニャ氏は述べています。 「サイバー犯罪者は、エンドポイントに感染することから始めて、より価値の高いターゲットへと進んでいくのではなく、最も多くの収益とアクセスを提供する個々のサーバーを侵害しています。攻撃者は、パブリック クラウドとプライベート クラウドを、重要なインフラストラクチャ サービスと機密データへのアクセスを提供する価値の高いターゲットと見なしています。残念ながら、マルウェア攻撃に対する現在の防御戦略は、依然として主に Windows ベースの脅威に対処することに重点を置いており、多くのパブリック クラウドとプライベート クラウドの展開が Linux オペレーティング システムに基づく攻撃に対して脆弱なままになっています。」

脅威の状況は急速に変化しており、Linux ベースのオペレーティング システムを標的とするマルウェアの量と高度化が進んでいるため、組織は脅威の検出にさらに注意を払う必要があります。このレポートでは、VMware の脅威分析ユニット (TAU) が、マルチクラウド環境における Linux ベースのオペレーティング システムに対する脅威 (ランサムウェア、暗号通貨マイナー、リモート アクセス ツール) を分析します。

ランサムウェアは被害を最大化するためにクラウドを標的にする

組織におけるデータ侵害の主な原因の 1 つとして、クラウド環境でのランサムウェア攻撃は壊滅的な結果をもたらす可能性があります (2)。クラウド展開に対するランサムウェア攻撃は標的を絞ったもので、成功の可能性を高めるためにデータ侵害と組み合わせて二重の恐喝を実行することがよくあります。新たな展開から、ランサムウェアは仮想環境でワークロードを生成するために使用される Linux VM イメージに重点的に取り組んでいることがわかります。攻撃者は現在、ターゲットに最大の損害を与えるために、クラウド環境内で最も価値のある資産を探しています。たとえば、Defray777 ランサムウェア ファミリは、ESXi サーバー上の仮想マシン イメージを暗号化します。そして、コロニアル・パイプラインのネットワークを混乱させ、米国全土でガソリン不足を引き起こした DarkSide ランサムウェア ファミリーです。

クリプトジャッキング攻撃はXMRigを使ってモネロを採掘する

手っ取り早く金銭を得ようとするサイバー犯罪者は、ウォレットを盗む機能をマルウェアに組み込んだり、盗んだ CPU サイクルから利益を得てクリプトジャッキングと呼ばれる攻撃で暗号通貨のマイニングを成功させたりして、暗号通貨を標的にすることがよくあります。ほとんどのクリプトジャッキング攻撃は、Monero 通貨 (XMR) のマイニングに重点を置いており、VMware Threat Analysis では、暗号通貨マイナーの 89% が XMRig 関連のライブラリを使用していることが判明しています。このため、Linux バイナリ内で XMRig 固有のライブラリとモジュールが特定された場合、それは悪意のある暗号通貨マイニング動作の証拠である可能性が高くなります。 VMware Threat Analysis では、防御回避が暗号通貨マイナーによって最もよく使用される手法であることも判明しました。残念ながら、クリプトジャッキング攻撃はランサムウェアのように展開されたクラウド環境を完全に侵害するわけではないため、検出がはるかに困難です。

Cobalt Strikeは攻撃者が好んで使うリモートアクセスツールです

攻撃者は、制御権を獲得し、環境内に留まるために、感染したシステムにインプラントをインストールし、マシンを部分的に制御できるようにしたいと考えています。マルウェア、Web シェル、リモート アクセス ツール (RAT) はすべて、感染したシステムで攻撃者がリモート アクセスを取得するために使用する可能性のあるインプラントです。攻撃者が使用する主なインプラントの 1 つは、Cobalt Strike と、最近の Linux ベースの Vermilion Strike の亜種です。 Cobalt Strike はすでに Windows 上で蔓延している脅威であったため、Linux ベースのオペレーティング システムへの拡大は、脅威の攻撃者がすぐに利用できるツールを活用してできるだけ多くのプラットフォームをターゲットにしたいと考えていることを示しています。

2020 年 2 月から 2021 年 11 月の間に、VMware Threat Analysis はインターネット上で 14,000 台を超えるアクティブな Cobalt Strike Team サーバーを発見しました。クラックされ漏洩した Cobalt Strike ユーザー情報の合計割合は 56% であり、これは Cobalt Strike ユーザーの半数以上がサイバー犯罪者であるか、少なくとも Cobalt Strike を違法に使用している可能性があることを意味します。 Cobalt Strike や Vermilion Strike などの RAT がサイバー犯罪者にとって一般的なツールとなっているという事実は、企業にとって大きな脅威となります。

「分析を実施して以来、古いランサムウェア ファミリーが Linux ベースのシステムを標的とするマルウェアに移行し、Log4j の脆弱性を悪用してさらなる攻撃を行う可能性があることがわかりました」と VMware の脅威調査マネージャー、ブライアン バスキン氏は述べています。 「このレポートの調査結果は、このマルウェアの性質をより深く理解し、マルチクラウド環境に対するランサムウェア、暗号通貨マイニング、RATの増大する脅威を軽減するために役立ちます。クラウドに対する攻撃が進化し続ける中、組織は対策を講じる必要があります。