EburyというLinuxベースのボットネットが、約400,000台のLinux、FreeBSD、OpenBSDサーバーにバックドアを仕掛け、2023年末時点で100,000台以上のサーバーが依然として侵害されていることがESETの研究により明らかになった。このボットネットは、大学、企業、インターネットサービスプロバイダー、暗号通貨トレーダー、Torの出口ノード、多数のホスティングプロバイダーなど、世界中の組織を標的にしている。
EburyはOpenSSHのバックドアであり、SSHキーとパスワードの盗難に使用される。このバックドアを通じて、ウェブトラフィックのリダイレクトやDNS設定の変更を行うCdorked、スパムメールを送信するCalfbotなどの二次マルウェアモジュールが展開される。近年、運営者はクレジットカードと暗号通貨の盗難に焦点を移している。
攻撃者は、データセンター内のビットコインやイーサリアムノードなどの対象のSSHトラフィックを傍受し、自分たちのコントロール下にあるサーバーにトラフィックをリダイレクトする。侵害されたサーバー上でホストされている暗号通貨ウォレットにパスワードが入力されると、Eburyは自動的にそれらのウォレットを盗む。
ESETは、Eburyの感染を検出し、修復するためのツールをリリースしている。しかし、感染したサーバーのクリーンアップは簡単ではなく、侵害された認証情報が再利用される場合、サイバー犯罪者はマルウェアを再インストールする可能性がある。
【ニュース解説】
Eburyとは、約15年前に初めて発見されたLinuxベースのボットネットで、最近の研究により、約400,000台のLinux、FreeBSD、OpenBSDサーバーにバックドアを仕掛け、2023年末時点で100,000台以上のサーバーが依然として侵害されていることが明らかになりました。このボットネットは、大学、企業、インターネットサービスプロバイダー、暗号通貨トレーダー、Torの出口ノード、多数のホスティングプロバイダーなど、世界中の様々な組織を標的にしています。
Eburyは主にOpenSSHのバックドアとして機能し、SSHキーとパスワードの盗難に利用されます。このバックドアを通じて、ウェブトラフィックのリダイレクトやDNS設定の変更、スパムメールの送信など、様々な二次マルウェアモジュールが展開されます。近年では、運営者はクレジットカードと暗号通貨の盗難に焦点を移しており、データセンター内のビットコインやイーサリアムノードなどのSSHトラフィックを傍受し、自分たちのコントロール下にあるサーバーにトラフィックをリダイレクトすることで、暗号通貨ウォレットを盗む手法を取っています。
このような攻撃の複雑さと巧妙さは、サーバー管理者やシステム管理者にとって大きな課題をもたらします。ESETは、Eburyの感染を検出し、修復するためのツールをリリースしていますが、感染したサーバーのクリーンアップは簡単ではありません。侵害された認証情報が再利用される場合、サイバー犯罪者はマルウェアを再インストールする可能性があります。これは、サーバーのセキュリティを維持するためには、単にマルウェアを削除するだけでなく、侵害された認証情報の変更や、マルチファクター認証のような追加のセキュリティ対策の実施が必要であることを示しています。
Eburyの存在と活動は、Linuxサーバーを対象とした脅威が依然として存在し、進化していることを示しています。サーバー管理者やセキュリティ担当者は、このような脅威に対して常に警戒し、最新のセキュリティ対策を講じる必要があります。また、この事例は、サイバーセキュリティが単に技術的な問題ではなく、組織全体のリスク管理の一部であることを改めて強調しています。
from 400K Linux Servers Recruited by Resurrected Ebury Botnet.
