WaterDrop Malware

WaterDropマルウェアは、Linuxインストールに感染する攻撃で使用される最近発見された破損したバイナリの一部です。マルウェアファミリーは、AT＆TのAlienLabsのinfosec研究者によって最初に発見されました。彼らの分析によると、すべての脅威は、攻撃者によって変更がゆっくりと導入される基礎として、Prismという名前のオープンソースバックドアを使用していました。

WaterDropの脅威となる機能は驚くほど基本的です。同時に、高度な検出防止や難読化の手法が欠けています。実際、研究者たちは、WaterDropにはいくつかの簡単に識別できる特性が含まれていると述べています。プレーンテキストHTTPを介してコマンドアンドコントロール（C2、C＆C）インフラストラクチャと通信することは言うまでもありません。しかし、攻撃キャンペーンの有効性から判断すると、これが事実であると推測する人はほとんどいなかったでしょう。

WaterDropキャンペーンに関連するドメインは2017年8月18日に登録され、ほぼ4年後もオンラインで運用されています。長期間の使用にもかかわらず、WaterDropはほぼゼロの検出スコアを達成および維持することができました。つまり、何年もの間、気付かれることなくレーダーの下を飛行することができました。これまでのところ、最も説得力のある説明は、攻撃キャンペーンを非常に小規模に保つことによって高い成功率が達成されたということです。

WaterDropとそれに関連するマルウェアファミリーの背後にいるサイバー犯罪者は、脅威となるツールキットをゆっくりと更新しており、活動を継続することが期待されています。