狙われた特定クラウドサービス、新種マルウェアの脅威
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」2月2日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・特定クラウドサービスを狙ったマルウェアの特徴
・過去の判例からみる「マルウェアの定義」
今回の解説ニュース
特定のクラウドサービスを狙ったマルウェアについて発表されています。暗号資産のマイニングやクリプトジャッキングを目的とした脅威の新たな手口について説明します。
今回の記事では、Huawei Cloudを標的としたLinux向けマルウェアの新たな手口について説明されています。マルウェアは、Huawei Cloud Linuxが持つセキュリティ機能の一つを無効化し、ECSインスタンスのパスワードをリセットするプラグインも含まれているため、攻撃者はHuawei Cloudの脆弱なECSインスタンスを標的にしていると推測されています。そして、今回の攻撃手口は、2020年にも見られたマルウェアの動作と酷似しており、関連性についても指摘されています。
さらに、マルウェアにはTorのプロキシサービスをインストールする特徴が挙げられており、マルウェアによる不正な通信が匿名化されることについても言及されています。Torとは「The Onion Router」の略で、ネットワーク通信の接続経路を匿名化するためのソフトウェアです。匿名化するために「玉ねぎ」の皮のように何重にも暗号化することから、IPアドレスに基づいて攻撃者を追跡することが困難になります。
特定クラウドサービスを狙ったマルウェアの特徴
今回発表されているマルウェアの特徴として「特定のクラウドサービスを標的にしていること」「別の攻撃者を排除しようとしていること」「何重にも解析できないように対策していること」が挙げられます。
「特定のクラウドサービスを標的にしていること」
先ほど説明した通りです。攻撃者が比較的新しいHuawei Cloudを標的にしている背景として、AWSやAzureと比べて実績が少なく、クラウドサービスの設定ミスが起きやすい現状が考えられます。攻撃者はこのような状況を鑑みて、あえて標的を絞ってきたのではないでしょうか。
「別の攻撃者を排除しようとしていること」
マルウェアに感染した端末のリソースを独占しようとしていることが考えられます。具体的には、マルウェアが感染した端末のSSH鍵をすべて削除して自分の鍵のみを追加します。さらに、他の攻撃者と思われるユーザも削除し、自分のユーザを目立たない名前で追加します。そして、これらの設定が変更できないように制限しています。これらは、暗号資産のマイニングは多くのリソースを消費するために、他の攻撃者を排除することによって、より多くの利益を得ようとしていることが考えられます。
「何重にも解析できないように対策していること」
先ほど説明したTorに加えて、プログラム自体も解析されないように難読化されています。より検出を困難にする投資に見合うだけの利益が期待できるのかもしれません。
その他のトピック
過去の判例からみる「マルウェアの定義」(全文はこちら)