10年前から金銭的利益を目的にLinuxサーバーを侵害し、今なお進化を続けるEburyマルウェア。ESET社の調査で明らかになったその手口を解説します。
本記事はESET Japanが提供する「ESETブログ」に掲載された「40万台のLinuxサーバーを侵害:暗号通貨を窃盗し、金銭的利益を目的としたEburyの現状と隠蔽機能の進化」を再編集したものです。
10年前にESET社は「Operation Windigo(ウィンディゴ作戦)」というタイトルのホワイトペーパーを公開し、Linuxを攻撃するEburyマルウェアによって金銭的利益を目的としたキャンペーンが実行されていることを伝えました。ESET社は、Eburyのその後の進化と、Linuxサーバーのボットネットを収益化するためにEburyのオペレーターが使用している新しいマルウェア系統を解説したホワイトペーパーを公開しました。
ウィンディゴ作戦のホワイトペーパーを公開した後、Eburyの実行犯の1人が逮捕され、有罪判決を受けましたが、ボットネットの拡大は止まっていません。2014年と2017年にも報告していますが、OpenSSHバックドアであり認証情報を窃取するEburyマルウェアは更新され続けています。
ESET社は、新しい検体とネットワークインジケーターを追跡するためにハニーポットを継続して管理しています。しかし、Eburyの進化に伴って、これらのハニーポットを運用することが難しくなっています。たとえば、ESET社のハニーポットの1つは、Eburyがインストールされているのに適切に反応しなくなっています。Eburyのオペレーターは、数時間をかけて何が起こっているのかをデバッグおよび調査した後に、最終的に、このサーバーを諦め、図1に示しているように、Eburyのオペレーターをハニーポットによって騙そうとしていることを分かっているというメッセージを送信してきました。
図1. EburyのオペレーターとESET社が運用するハニーポット間のやり取り。
Eburyのオペレーターがこのシステムをハニーポットであることを見破り、フラグを立てていたことを示している
2021年、オランダ国家ハイテク犯罪ユニット(NHTCU)は、暗号通貨が窃盗された被害者のサーバーでEburyを発見し、ESET社に連絡しました。ESET社は、NHTCUとの連携によって、同グループの最近の活動や使用しているマルウェアについての重要な情報を得ることができました。
拡散し続けるEbury
このホワイトペーパーでは、Eburyマルウェアを新しいサーバーに拡散するために使用されている新たな方法について説明しています。図2は、ESET社が特定した方法をまとめたものです。
図2. Eburyのオペレーターが新しいサーバーを侵害するために使用しているさまざまな方法
被害を受けた組織には、多くのホスティングプロバイダーが含まれています。このサイバー攻撃組織は、ホスティングプロバイダーのインフラを乗っ取り、プロバイダーが提供しているすべてのサーバーにEburyをインストールします。ESET社は、侵害されているホスティングプロバイダーから、実験的に仮想サーバーをレンタルしました。7日以内にESET社がレンタルしたサーバーにEburyがインストールされました。
注意が必要なもう1つの方法は、データセンターで重要な標的のSSHトラフィックを傍受し、認証情報を取得するためのサーバーにリダイレクトするAiTM攻撃(中間者攻撃)です(図3の要約を参照)。Eburyのオペレーターは、標的の組織と同じネットワークセグメントに存在し、Eburyに侵害されているサーバーを利用して、ARPスプーフィングを実行します。インターネットテレメトリ(監視データ)によると、2023年には200台以上のサーバーが標的となっています。特に重要な標的となっているのは、ビットコインとイーサリアムの仮想通貨ネットワークに参加しているマシンです。Eburyは、被害者がパスワードを入力してログインすると、標的のサーバーでホストされている暗号通貨ウォレットを自動的に盗み出します。
図3. EburyのオペレーターによるAiTM攻撃の概要
これらの方法による効果を見ていきましょう。2009年以来、Eburyによって侵害されたサーバー台数は合計で約40万台に達しており、2023年末時点で10万台以上が侵害された状態にあります。Eburyのオペレーターは侵害したシステムを追跡していますが、そのデータから毎月ボットネットに追加された新しいサーバー台数を時系列で示しました(図4)。この図では左右のY軸に2つの尺度を用いており、Eburyが一度に数万台のサーバーに展開された重要ないくつかのインシデントがあったことが分かります。
図4. Y軸に2つの異なる尺度を使用した1カ月あたりのEburyの展開数(Eburyのオペレーターが管理している、侵害したサーバー台数に関するデータベース情報に基づく)
収益化
この新しいホワイトペーパーでは、Eburyボットネット(図5)を活用するために使用されている新しいマルウェア系統についても説明しています。Eburyのオペレーターは、スパム送信やWebトラフィックのリダイレクトを行っていますが、サーバーとのHTTP POSTリクエストの送受信も利用され、金融取引を実行するWebサイトから詳細な情報が窃取されています。
図5. Eburyに感染したサーバーに展開される複数のマルウェア系統とその影響
深く潜り込み、検出を回避する
Eburyマルウェア系統も更新されています。重要なアップデートバージョンである1.8は、2023年後半に初めて登場しました。このアップデートには、新しい難読化技術、新しいドメイン生成アルゴリズム(DGA)、そしてEburyがシステム管理者から自身を隠蔽するために使用されるユーザーランドレベルのルートキットの改良が含まれています。このアップデート版がインストールされると、プロセス、ファイル、ソケット、そしてマッピングされたメモリー(図6)さえも隠蔽されます。
図6. ユーザーランドでEburyのルートキットが実行されたときの、OpenSSHサーバーとBashマップファイルの違い(ユニファイド形式)
Eburyの詳細と、自社のサーバーが侵害されているか確認する方法
新しいホワイトペーパー「Eburyの現状と進化した隠蔽機能:暗号通貨を窃盗し、金銭的な利益を得るために40万台のLinuxサーバーが侵害される(英語のみ)」では、技術的な解説を交えて、Eburyの各側面について詳細に説明しています。
セキュリティ侵害の痕跡(IoC)は、ESET社のGitHubリポジトリ(malware-ioc)に掲載されています。検出スクリプトは、malware-researchリポジトリにあります。
