複数ライセンス割引見積
コンピュータセキュリティ Perfctl マルウェアが数千台の Linux サーバーを感染させる静かな脅威に

Perfctl マルウェアが数千台の Linux サーバーを感染させる静かな脅威に

コンピュータセキュリティMuraまで
翻訳内容:
日本語

Aqua Security による最近の驚くべき発見によると、 Perfctlという名のステルス マルウェアが 3 年以上にわたって Linux サーバーを積極的にターゲットにしており、サーバーの設定ミスや脆弱性をすり抜けています。この高度なマルウェアは、回避策とリソースの乗っ取りに重点を置き、何千ものシステムを侵害しています。ここでは、レーダーの下を飛び回っているこのマルウェア ファミリーについて知っておくべきことを紹介します。

Perfctlの運営方法

Perfctl は、Linux サーバーの 20,000 を超える既知の脆弱性と設定ミスを悪用して、永続的なアクセスを確立します。侵入されても、すぐには警告を発しません。代わりに、ルートキットを使用して自分自身を隠し、サーバーがアイドル状態のときにのみアクティブになり、静かに動作します。コマンド アンド コントロール (C&C) インフラストラクチャとの通信は、Unix ソケットと Tor ネットワークを通じて慎重に管理され、外部コマンドの追跡が困難になっています。

マルウェアがシステム内に侵入すると、バックドアを作成し、権限を昇格させて、感染したサーバーをオペレーターがリモートで制御できるようにします。そこから、Perfctl は偵察用のツールを展開し、暗号通貨マイナーをドロップし、プロキシ ジャッキング ソフトウェアを使用して侵害されたシステムからリソースを盗みます。オペレーターは追加のマルウェアも展開し、感染したサーバーをより悪質な活動の温床にします。

回避と粘り強さがPerfctlのステルスの鍵

Perfctl は、何よりもまず、隠れ続けることを目的として設計されています。システム スクリプトを変更して、正当なワークロードの前に実行されるようにし、サーバーを掌握します。また、さまざまな認証機能にフックして、パスワード チェックを回避したり、資格情報をログに記録したりして、攻撃者が機密データにさらにアクセスできるようにします。このマルウェアは、ユーザー アクティビティを検出すると、その動作を停止するところまで行うため、管理者にはほとんど見えません。

Perfctl のバイナリは、圧縮され、ストリップされ、暗号化されており、検出とリバース エンジニアリングを回避するように設計されています。作成者は、従来の防御メカニズムが機能しないようにするために多大な努力を払っています。さらに悪いことに、Perfctl はシステムを侵害するだけでは満足せず、サーバー上の他のマルウェアを積極的に探し出して終了させようとし、システムで実行されているマルウェアが自分だけであることを確認します。

脆弱性: CVE-2021-4043 の悪用

Perfctl の重大なエントリ ポイントの 1 つは、既知の脆弱性 CVE-2021-4043 です。これは、オープンソースのマルチメディア フレームワーク Gpac に存在する、中程度の深刻度の Null ポインタ参照バグです。Perfctl はこの脆弱性を利用して権限を昇格し、ルート アクセスを取得しようとします。このバグは最近、CISA の既知の悪用された脆弱性カタログに追加されましたが、現在も悪用が続いているため、このマルウェアのターゲットであり続けています。

Perfctl がアクセスを獲得すると、感染したシステム全体に広がり、複数の場所に自分自身をコピーし、ユーザーランド ルートキットとして機能する改変された Linux ユーティリティをドロップします。これらのユーティリティは、その動作をさらに隠蔽し、暗号通貨マイナーが気付かれずにバックグラウンドで実行できるようにします。

攻撃の範囲

Perfctl の影響範囲は広く、Aqua Security は攻撃に使用された 3 つのダウンロード サーバーと、多数の侵害された Web サイトを特定しています。Perfctl の背後にいる脅威アクターは、約 20,000 のエントリを含むディレクトリ トラバーサル ファジング リストを使用して、公開された構成ファイルとシークレットを検索します。これにより、攻撃者がランダムな脆弱性に頼っているのではなく、悪用する構成ミスを体系的に検索していることが明確になります。

何ができるでしょうか?

Perfctl の発見は、Linux サーバー上で安全な構成を維持し、既知の脆弱性をできるだけ早く修正することの重要性を浮き彫りにしています。システム管理者は、特にアイドル期間中に、システムの異常なアクティビティを定期的に監査し、ルートキットや暗号通貨マイナーの存在を示す可能性のある疑わしいネットワーク トラフィックを監視する必要があります。

Perfctl の高度な性質を考えると、従来の検出メカニズムでは不十分な可能性があります。組織は、マルウェアが積極的に隠れようとしている場合でも、サーバーの動作の異常なパターンを識別できる高度な脅威検出ツールと監視ソリューションの実装を検討する必要があります。

読み込んでいます...