Abcbot: HuaweiCloudをターゲットとするLinuxワーマブルボットネット

新しいLinuxのワーム可能なボットネットが実際に観察されています. Abcbotと呼ばれる, 脅威は「比較的新しいクラウドサービスプロバイダーをターゲットにしている (CPS) 暗号通貨マイニングマルウェアとクリプトジャッキング攻撃,」トレンドマイクロの調査結果によると.

このマルウェアは、主にHuaweiCloudでアプリケーションとサービスを削除するコードをデプロイします, セキュリティの問題を検出してシステムを保護する、いわゆるホストガードサービスなど. ネットワークセキュリティ研究所のセキュリティ研究者 360 また 提供された 新しいLinuxマルウェアに関する技術的な詳細.

Abcbotの技術概要

Abcbotは、Tencentの研究者によって最初に検出されました。 2020 コンテナ環境を対象としたキャンペーンで. マルウェアの新しいサンプルには、昨年のサンプルに存在したものと同じファイアウォールルールの作成が含まれています. "でも, コメントされています, したがって、ルールは作成されません. 新しいサンプルはクラウド環境のみを対象としていることがわかりました,」トレンドマイクロ 指摘した.

Abcbotのオペレーターが、感染したシステムとの競合を排除し、独自のキーを更新するのに役立つ特定の公開キーを検索していることは注目に値します。. これは、脅威のオペレーターが標的のオペレーティングシステムの包括的なサニタイズを達成したいと望んでいることを示しています. マルウェアは、悪意のある操作を防ぐ可能性のある以前の感染とセキュリティユーティリティの両方を見つけようとします. 加えて, また、「感染ルーチンを実行した後にクリーンアップするためのシンプルで効果的なコマンド」を利用します。

不要なユーザーがすべてシステムから削除されたら, マルウェアは独自のユーザーを何人か作成します, クラウドを対象とした以前のサンプルで部分的にしか見られなかった動作. このキャンペーン, でも, 「system」や「logger」などの一般的な名前でより多くのユーザーを作成します。これらの名前の目的は、経験の浅いLinuxアナリストをだまして、ユーザーが正当であると信じ込ませることです。. 悪意のあるユーザーにも管理権限が与えられます.

もう1つの興味深い発見は、「ハッキングチームは、感染したシステムに繰り返しログインできるようにするために、独自のssh-rsaキーも追加している」ということです。システムの変更が行われると, これらのファイルのそれ以上の変更を禁止するために特別な権限が追加されます. これは、作成されたユーザーを削除または変更できないようにするために行われます。.

Abcbotのオペレーターは、特定の脆弱性とセキュリティの抜け穴がないか、対象のシステムをスキャンしています。, 含む:

SSHの弱いパスワード
OracleFusionMiddlewareのOracleWebLogicServer製品の脆弱性 (CVE-2020-14882)
不正アクセスまたは弱いパスワードをRedisします
PostgreSQLの不正アクセスまたは弱いパスワード
SQLServerの弱いパスワード
MongoDBの不正アクセスまたは弱いパスワード
ファイル転送プロトコル (FTP) 弱いパスワード

操作の最終目標は、暗号通貨マイナーを削除することです, Linuxで最も展開されているペイロードと見なされている. トレンドマイクロの研究者は、公開前に調査結果をファーウェイメディアチームに連絡しました, 現在、会社の承認または返信を待っています.

10月中 2021, 研究者が発見 新しい, これまでに見られなかったマルウェア Linuxシステムをターゲットとするファミリー. ESETの研究者による吹き替えFontOnLake, およびHCRootkitbyAvast and Lacework, マルウェアにはルートキット機能があります, 高度な設計と低い有病率, これは主に標的型攻撃を対象としていることを示唆しています.