Last Updated on 2024-08-26 06:56 by admin
セキュリティ研究者が、Linuxシステムを標的とする新しいマルウェア「SedEXP」を発見した。このマルウェアは、クレジットカード情報を盗むトロイの木馬として機能する。
SedEXPは、Linuxシステムのメモリ内に隠れて動作し、システムコールをフックすることで検出を回避する。主な特徴は以下の通り
- 感染したシステムのメモリ内に常駐し、ディスク上に痕跡を残さない。
- システムコールをフックし、マルウェアの存在を隠蔽する。
- クレジットカード情報を収集し、Base64エンコードしてC2サーバーに送信する。
研究者らは、SedEXPがPOSシステムや金融取引を扱うLinuxサーバーを主な標的としていると推測している。
このマルウェアの発見日は明確に示されていないが、2024年8月に報告された最新の脅威である。
from:New Linux Malware ‘sedexp’ Hides Credit Card Skimmers Using Udev Rules/
【編集部解説】
まず、この「SedEXP」という名称ですが、実は誤りであることが分かりました。正確には「sedexp」と小文字で表記されます。これは、セキュリティ企業Stroz Friedbergが2024年8月19日に公開した報告書で明らかにされた情報です。
sedexpの特徴として注目すべきは、Linuxのudevルールを悪用して持続性を確保している点です。udevは、Linuxシステムでデバイスの追加や削除を管理するシステムですが、sedexpはこれを巧みに利用しています。具体的には、特定のデバイスイベントが発生するたびにマルウェアが実行されるよう設定されているのです。
このマルウェアの主な目的は、クレジットカード情報の窃取です。しかし、単なるスキマーではなく、より高度な手法を用いています。webサーバー上でクレジットカード情報を収集するコードを隠蔽し、金銭的な利益を得ようとしているのです。
sedexpが特に危険なのは、その検出の難しさにあります。オンラインのサンドボックス環境で複数のインスタンスが発見されていますが、驚くべきことに検出率はゼロでした。これは、従来のセキュリティソフトウェアでは対応が困難であることを示しています。
さらに注目すべきは、このマルウェアが少なくとも2022年から活動していたという事実です。長期間にわたって検出を回避し続けてきたことは、その巧妙さを物語っています。
このようなマルウェアの出現は、Linuxシステムのセキュリティに対する新たな課題を提示しています。特に、金融取引を扱うサーバーやPOSシステムを使用している企業は、より一層の警戒が必要でしょう。
sedexpの事例は、サイバーセキュリティの世界が常に進化し続けていることを示しています。従来のランサムウェア以外にも、金銭的動機を持つ攻撃者たちが高度な手法を開発し続けているのです。
この状況に対応するためには、組織はセキュリティ対策を常に最新の状態に保ち、特に珍しい持続性技術にも注意を払う必要があります。また、信頼できるデジタルフォレンジック企業と連携し、定期的なセキュリティ監査を実施することも重要です。
最後に、このようなマルウェアの存在は、オープンソースコミュニティにとっても重要な課題です。Linuxの安全性を高めるため、コミュニティ全体でセキュリティ意識を高め、新たな脅威に対する対策を共同で開発していく必要があるでしょう。