SSHStalker ボットネット
サイバーセキュリティアナリストは、インターネットリレーチャット(IRC)プロトコルをコマンドアンドコントロール(C2)通信に利用する「SSHStalker」と呼ばれるボットネット活動を発見しました。従来のIRCボットネットの仕組みと自動化された大規模侵入手法を組み合わせたこのキャンペーンは、インフラへの侵入に対する計画的かつ組織的なアプローチを反映しています。
急速な収益化を優先する現代のボットネットとは異なり、SSHStalker は持続性と制御された拡張性を重視し、目先の金銭的利益ではなく、潜在的な戦略的な目的があることを示しています。
目次
エクスプロイト戦略:忘れ去られたものやパッチ未適用のものをターゲットにする
SSHStalkerの中核は、レガシーLinuxシステムを意図的に標的としています。このツールキットには、2009年と2010年に遡る16件のLinuxカーネルの脆弱性が組み込まれています。これらの脆弱性は、最新のパッチ適用済みのシステムにはほとんど効果がありませんが、時代遅れの、あるいは放置されたインフラストラクチャに対しては依然として有効です。
この攻撃で悪用された注目すべき脆弱性には、CVE-2009-2692、CVE-2009-2698、CVE-2010-3849、CVE-2010-1173、CVE-2009-2267、CVE-2009-2908、CVE-2009-3547、CVE-2010-2959、CVE-2010-3437などがあります。このように古い脆弱性を利用することは、現代のセキュリティ監視を逃れがちなロングテールのレガシー環境を悪用するという現実的な戦略を示しています。
SSH自動化によるワームのような拡大
SSHStalkerは、その攻撃範囲を拡大するために自動スキャン機能を統合しています。Go言語ベースのスキャナーがポート22を積極的にプローブし、SSHサービスを公開しているシステムを特定します。脆弱性のあるホストが発見されると、そのホストは感染させられ、IRCチャンネルに登録されます。これにより、ワームのような方法でボットネットが拡大します。
感染時には、IRC制御ボットやPerlベースのファイルボットの亜種など、複数のペイロードが展開されます。これらのコンポーネントはUnrealIRCdサーバーに接続し、指定された制御チャネルに参加して指示を待ちます。このインフラストラクチャは、協調的なフラッド型トラフィック攻撃と集中的なボット管理をサポートします。
これらの機能を備えているにもかかわらず、この攻撃キャンペーンは、分散型サービス拒否攻撃、プロキシジャッキング、暗号通貨マイニングといった、エクスプロイト後の一般的な収益化活動には関与していないことが顕著です。侵害されたシステムはほとんど活動を停止したまま、永続的なアクセスを維持しています。この抑制された運用姿勢は、ステージング、アクセス保持、あるいは将来的な協調作戦といった潜在的なユースケースを示唆しています。
ステルス、持続性、そしてアンチフォレンジック
SSHStalkerの特徴は、運用上のステルス性です。このマルウェアは、utmp、wtmp、lastlogのログレコードを操作するログクリーニングユーティリティを展開し、不正なSSHアクセスを隠蔽します。カスタムCプログラムを実行することで、システムログから悪意のあるアクティビティの痕跡を削除し、フォレンジックによる可視性を低下させます。
回復力を確保するため、ツールキットにはキープアライブメカニズムが搭載されており、マルウェアの主要プロセスが終了しても60秒以内に再起動するように設計されています。この持続戦略により、侵害を受けた環境全体における足場の耐久性が強化されます。
ステージングインフラストラクチャと攻撃ツールの武器庫
関連するステージングインフラストラクチャの分析により、攻撃ツールと過去に記録されたマルウェアの広範なリポジトリが明らかになりました。ツールキットには以下が含まれます。
- ステルス性を高め、永続性を維持するように設計されたルートキット
- 暗号通貨マイナー
- 「ウェブサイトグラバー」というバイナリを実行し、脆弱なウェブサイトから公開されたAmazon Web Services(AWS)の認証情報を収集するPythonスクリプト
- コマンドアンドコントロールとリモートコマンド実行を可能にする IRC ボット、EnergyMech
このコレクションは、複数の攻撃目標に適応できる柔軟な運用フレームワークを強調しています。
帰属の手がかりと業務の重複
IRCチャンネルや設定ワードリスト内の指標から、ルーマニア語風のニックネームやスラングの存在など、ルーマニア起源の可能性が示唆されます。さらに、活動特性はOutlaw(別名Dota)として知られるハッキンググループと大きく重複しており、潜在的な提携関係や共通の技術が示唆されます。
斬新な活用よりも成熟したオーケストレーション
SSHStalkerは、ゼロデイ脆弱性や画期的なルートキット開発に依存していません。その代わりに、このキャンペーンは、規律ある運用管理と効果的なオーケストレーションを実証しています。コアボットと低レベルコンポーネントは主にC言語で記述されており、シェルスクリプトが永続性と自動化を管理しています。PythonとPerlは、ユーティリティ関数と感染チェーン内のサポートタスクに選択的に使用されています。
このキャンペーンは、インフラストラクチャの再利用、自動化、そして多様なLinux環境における長期的な持続性を重視した、構造化されスケーラブルな大規模侵害ワークフローの好例です。その強みは、革新性よりも、実行力、連携、そして見落とされがちなシステムの戦略的活用にあります。
