Last Updated on 2024-11-22 15:56 by admin
セキュリティ企業ESETのマルウェア研究者Viktor Šperka氏により発見された。中国系APTグループ「Gelsemium」による新たなLinuxマルウェア「WolfsBane」と「FireWood」の使用が確認された。
- 発覚時期:2023年3月(VirusTotalへのサンプルアップロード確認)
- 発表時期:2024年11月
- 発見者:ESETのマルウェア研究者 Viktor Šperka氏
- 攻撃主体:中国系APTグループ「Gelsemium」(別名:Spiral、Bronze Spiral)
- 新マルウェア:
- 「WolfsBane」(Linuxバックドア)
- 「FireWood」(新型インプラント)
- 攻撃対象地域:
- 台湾
- フィリピン
- シンガポール
- マルウェアの特徴:
- WolfsBaneは2014年から使用されているWindowsマルウェア「Gelsevirine」のLinux版
- BEURKユーザーランドルートキットを改変して使用
- FireWoodはusbdev.koカーネルドライバールートキットモジュールを使用
- 攻撃目的:
- システム情報の窃取
- ユーザー認証情報の収集
- 特定のファイルやディレクトリの探索
- 長期的な情報収集活動の実施
- 背景:
- EDRソリューションの普及
- MicrosoftによるVBAマクロのデフォルト無効化
- これらの対策により攻撃者がLinuxシステムを新たな標的として注目
これはGelsemiumグループによる初めての確認されたLinuxマルウェアの使用事例となる。
from:Chinese APT Gelsemium Targets Linux Systems with New WolfsBane Backdoor
【編集部解説】
Gelsemiumによる今回のLinuxマルウェアの使用は、サイバー攻撃の世界で重要な転換点を示していると考えられます。
これまでWindowsシステムを主な標的としていた高度な攻撃グループが、Linuxシステムへと攻撃の幅を広げている現状は、企業のITインフラに対して新たな警鐘を鳴らしています。
特に注目すべきは、WolfsBaneがWindows用マルウェアGelsevirineのLinux版として開発されたという点です。これは、攻撃者たちがクロスプラットフォーム展開を意識的に進めていることを示しています。
この背景には、Microsoftによるセキュリティ強化策が大きく影響しています。特にVBAマクロのデフォルト無効化やEDRソリューションの普及により、従来のWindows環境での攻撃が困難になってきていることが挙げられます。
企業のクラウド移行が加速する中、多くのサーバーやコンテナ環境でLinuxが使用されています。IDCの調査によると、パブリッククラウドのワークロードの約90%がLinux上で動作しているとされており、この状況は攻撃者にとって魅力的な標的となっています。
特に懸念されるのは、WolfsBaneとFireWoodが高度な検知回避機能を備えていることです。BEURKユーザーランドルートキットやカーネルドライバールートキットを使用することで、従来のセキュリティ対策をすり抜ける可能性があります。
日本企業にとっても、この動向は無視できません。特に東アジアを標的とした攻撃が確認されていることから、国内企業も警戒を強める必要があります。
対策としては、Linuxシステムに対するセキュリティ監視の強化、特権アクセス管理の徹底、そして定期的なセキュリティアップデートの適用が重要となります。
また、今回の事例は、マルチプラットフォーム環境における包括的なセキュリティ戦略の必要性を示しています。単一のプラットフォームだけを守るのではなく、異なるOS間での統合的なセキュリティ対策が求められる時代に入ったと言えるでしょう。