サイバー犯罪者は主にランサムウェアやクリプトジャッキングを使ってLinuxベースのシステムに焦点を当てている

サイバー犯罪者は主にランサムウェアやクリプトジャッキングを使ってLinuxベースのシステムに焦点を当てている

最も一般的なクラウド オペレーティング システムである Linux は、デジタル インフラストラクチャの中核部分であり、マルチクラウド環境への攻撃者の侵入口として急速に利用されつつあります。現在のマルウェア緩和戦略は、主に Windows ベースのシステムに対する脅威に対処するため、多くのパブリック クラウドおよびプライベート クラウドの展開が Linux ベースのワークロードを標的とした攻撃に対して脆弱なままになっています。

世界有数のエンタープライズ ソフトウェア革新企業である VMware (NYSE: VMW) は最近、脅威レポート「Linux マルチクラウド環境でのマルウェアの検出」(1) を発表しました。このレポートでは、サイバー犯罪者がマルウェアを使用して Linux ベースのオペレーティング システムを攻撃する方法について詳しく説明しています。報告書の主な調査結果は次のとおりです。

• ランサムウェアは、仮想環境でワークロードを生成するために使用されるLinux VMイメージに焦点を当てています。

• クリプトジャッキング攻撃の89%はXMRig関連のライブラリを使用している

• Cobalt Strike ユーザーの半数以上がサイバー犯罪者であるか、Cobalt Strike を違法に使用している可能性があります。

「サイバー犯罪者は、最小限のコストで最大限の効果を達成しようと、Linuxベースのオペレーティングシステムを標的とするマルウェアをツールキットに追加することで、攻撃対象領域を大幅に拡大しています」と、VMwareの脅威インテリジェンス担当シニアディレクター、ジョバンニ・ヴィニャ氏は述べています。 「サイバー犯罪者は、エンドポイントに感染することから始めて、より価値の高いターゲットへと進んでいくのではなく、最も多くの収益とアクセスを提供する個々のサーバーを侵害しています。攻撃者は、パブリック クラウドとプライベート クラウドを、重要なインフラストラクチャ サービスと機密データへのアクセスを提供する価値の高いターゲットと見なしています。残念ながら、マルウェア攻撃に対する現在の防御戦略は、依然として主に Windows ベースの脅威に対処することに重点を置いており、多くのパブリック クラウドとプライベート クラウドの展開が Linux オペレーティング システムに基づく攻撃に対して脆弱なままになっています。」

脅威の状況は急速に変化しており、Linux ベースのオペレーティング システムを標的とするマルウェアの量と高度化が進んでいるため、組織は脅威の検出にさらに注意を払う必要があります。このレポートでは、VMware の脅威分析ユニット (TAU) が、マルチクラウド環境における Linux ベースのオペレーティング システムに対する脅威 (ランサムウェア、暗号通貨マイナー、リモート アクセス ツール) を分析します。

ランサムウェアは被害を最大化するためにクラウドを標的にする

組織におけるデータ侵害の主な原因の 1 つとして、クラウド環境でのランサムウェア攻撃は壊滅的な結果をもたらす可能性があります (2)。クラウド展開に対するランサムウェア攻撃は標的を絞ったもので、成功の可能性を高めるためにデータ侵害と組み合わせて二重の恐喝を実行することがよくあります。新たな展開から、ランサムウェアは仮想環境でワークロードを生成するために使用される Linux VM イメージに重点的に取り組んでいることがわかります。攻撃者は現在、ターゲットに最大の損害を与えるために、クラウド環境内で最も価値のある資産を探しています。たとえば、Defray777 ランサムウェア ファミリは、ESXi サーバー上の仮想マシン イメージを暗号化します。そして、コロニアル・パイプラインのネットワークを混乱させ、米国全土でガソリン不足を引き起こした DarkSide ランサムウェア ファミリーです。

クリプトジャッキング攻撃はXMRigを使ってモネロを採掘する

手っ取り早く金銭を得ようとするサイバー犯罪者は、ウォレットを盗む機能をマルウェアに組み込んだり、盗んだ CPU サイクルから利益を得てクリプトジャッキングと呼ばれる攻撃で暗号通貨のマイニングを成功させたりして、暗号通貨を標的にすることがよくあります。ほとんどのクリプトジャッキング攻撃は、Monero 通貨 (XMR) のマイニングに重点を置いており、VMware Threat Analysis では、暗号通貨マイナーの 89% が XMRig 関連のライブラリを使用していることが判明しています。このため、Linux バイナリ内で XMRig 固有のライブラリとモジュールが特定された場合、それは悪意のある暗号通貨マイニング動作の証拠である可能性が高くなります。 VMware Threat Analysis では、防御回避が暗号通貨マイナーによって最もよく使用される手法であることも判明しました。残念ながら、クリプトジャッキング攻撃はランサムウェアのように展開されたクラウド環境を完全に侵害するわけではないため、検出がはるかに困難です。

Cobalt Strikeは攻撃者が好んで使うリモートアクセスツールです

攻撃者は、制御権を獲得し、環境内に留まるために、感染したシステムにインプラントをインストールし、マシンを部分的に制御できるようにしたいと考えています。マルウェア、Web シェル、リモート アクセス ツール (RAT) はすべて、感染したシステムで攻撃者がリモート アクセスを取得するために使用する可能性のあるインプラントです。攻撃者が使用する主なインプラントの 1 つは、Cobalt Strike と、最近の Linux ベースの Vermilion Strike の亜種です。 Cobalt Strike はすでに Windows 上で蔓延している脅威であったため、Linux ベースのオペレーティング システムへの拡大は、脅威の攻撃者がすぐに利用できるツールを活用してできるだけ多くのプラットフォームをターゲットにしたいと考えていることを示しています。

2020 年 2 月から 2021 年 11 月の間に、VMware Threat Analysis はインターネット上で 14,000 台を超えるアクティブな Cobalt Strike Team サーバーを発見しました。クラックされ漏洩した Cobalt Strike ユーザー情報の合計割合は 56% であり、これは Cobalt Strike ユーザーの半数以上がサイバー犯罪者であるか、少なくとも Cobalt Strike を違法に使用している可能性があることを意味します。 Cobalt Strike や Vermilion Strike などの RAT がサイバー犯罪者にとって一般的なツールとなっているという事実は、企業にとって大きな脅威となります。

「分析を実施して以来、古いランサムウェア ファミリーが Linux ベースのシステムを標的とするマルウェアに移行し、Log4j の脆弱性を悪用してさらなる攻撃を行う可能性があることがわかりました」と VMware の脅威調査マネージャー、ブライアン バスキン氏は述べています。 「このレポートの調査結果は、このマルウェアの性質をより深く理解し、マルチクラウド環境に対するランサムウェア、暗号通貨マイニング、RATの増大する脅威を軽減するために役立ちます。クラウドに対する攻撃が進化し続ける中、組織は対策を講じる必要があります。

<<:  コンテナオーケストレーション技術Kubernetesの包括的な分析

>>:  NoSQL の「先駆的取り組み」である Amazon DynamoDB の 10 年間のイノベーション

推薦する

SEO計画におけるキーワード選択のヒント

1. 関連キーワードを選択する 2. 具体的なキーワードを選択する 「Carpenter Tools...

2020 年のクラウド コンピューティングに関するヒント

2020年のコロナウイルスの流行は世界に大きな影響を与えましたが、IT業界、特にクラウドコンピューテ...

Baidu は、あなたのウェブサイトにトロイの木馬によるセキュリティリスクがあることをお知らせします。どうすれば解決できますか?

ウェブサイトを最適化する際に、ウェブサイトにトロイの木馬が見つかるという状況に遭遇したことがあるかも...

検索最適化とは何ですか?

最近、多くのウェブマスターや最適化愛好家が、自分のサイトを最適化する方法について話しています。最適化...

Zhihuで答えが見つからない

知乎のユーザーは長い間、自分が嫌悪する特定の発言に対して「あなたはWeibo出身ですよね?」というコ...

CtripとQunarが合併し、中国最大のオンライン旅行会社に

10月26日夜のニュース、Ctrip.comは今晩、Baiduとの株式交換取引に合意したと発表した。...

料金が高ければ高いほど、顧客は満足します。別の視点から価格設定を見てみましょう。

この記事は、2012 年 9 月 21 日にパトリックが自身のブログで公開したものです。会話の音声版...

2021年上半期のクラウドコンピューティングの振り返り:利益、セキュリティ、政府対応が3つの新たな課題に

8月27日、天津市国有資産監督管理委員会は「国有企業のクラウド移行の加速と国有資産クラウドシステムの...

マルチクラウド環境を管理するための10の実践

また、マルチクラウドは組織の IT チームが直面しているすべての問題に対する解決策ではないことも理解...

TDesign は、Tencent Design Cloud の機能の重要な部分であるオープンソースとして正式にリリースされました。

インターネットの急速な発展に伴い、製品の規模と機能は増大し、開発シナリオはより複雑になり、従来の設計...

ランディングページのデザインスキルの詳細な分析

前回のコンテンツ「事例分析:高コンバージョンランディングページデザインスキル」では、高コンバージョン...

グローバルクラウドコンピューティングの父、IBM: クラウドコンピューティングが現実に

近年、テクノロジー企業は「クラウド コンピューティング」のビジネス チャンスをつかもうと競い合い、ク...

今こそクラウドコンピューティングのデータの霧を晴らす時です

今日の企業は、クラウド アプリケーションやモバイル デバイスなど、多くのテクノロジを導入しており、従...

Kubernetes コマンドライン ツール (kubectl)

1. 概要kubectl は、Kubernetes クラスターのコマンドライン ツールです。クラスタ...

誤解を解く: データ インフラストラクチャをクラウドに移行する

新たな技術の進歩が現れるにつれ、人々はクラウド コンピューティングがすべての問題を解決する、長い間宣...