マイニングおよびランサムウェア機能を備えた自己拡散型マルウェアはどのように聞こえますか? 完全に架空? 全くない. この新しいマルウェア株は存在し、WindowsサーバーだけでなくLinuxにとっても真の脅威です。. Xbashと呼ばれています.
すなわち, 新しいマルウェア株 4つのマルウェアカテゴリの特性を組み合わせる –ランサムウェア, ボットネット, いも虫, と暗号マイナー. パロアルトネットワークスのユニットの研究者によると 42, Xbashのランサムウェアおよびボットネット機能は、新しい巨大なマルウェアがデータベースを削除するように指示されているLinuxシステムを対象としています。. Windowsは, Xbashは、暗号化の目的と自己伝播に使用されます, Hadoopの既知のセキュリティ脆弱性を活用する, Redis, およびActiveMQサービス.
新しいXbashマルウェアの背後にいるのは誰か?
どうやら, この最新のマルウェア株は、IronandRockeとして知られる有名な犯罪集団によって作成されています. このグループは過去数年間非常に活発でした.
これらのサイバー犯罪者は、大規模なランサムウェアおよび暗号化キャンペーンを実行することで知られています. Cisco Talosの研究者は、ハッキング集団を「モネロ鉱山労働者のチャンピオン」. グループが中国に拠点を置いていることを示唆する手がかりがあります, しかし、これは確認されていません. グループは、ランサムウェアを配信していることが検出されました 2017 と 2018, 以降–暗号通貨マイナー.
今, Ironグループは、以前に展開されたすべての悪意のあるシナリオを組み合わせた新しいマルウェア株を手にしています。. 結果は ボットネットのような構造を持つ巨大なマルウェア ランサムウェアと暗号化機能. その上に, このグループは現在、自己増殖のためのワームのような機能に取り組んでいます, 研究者は言う.
XBashマルウェアの技術概要
パロアルトのテクニカル分析によると, マルウェアはPythonで開発され、その後、配信目的でPyInstallerと呼ばれる正規のツールを利用して、自己完結型のLinuxELF実行可能ファイルに変換されました。.
XBashはIPアドレスとドメイン名も対象としています. 「「MiraiやGafgytなどの最新のLinuxマルウェアは通常、スキャン先としてランダムなIPアドレスを生成します. 対照的に, Xbashは、サービスの調査と悪用のために、C2サーバーからIPアドレスとドメイン名の両方をフェッチします,」研究者 了解しました.
すでに述べたように, 新しいマルウェア株は、WindowsとLinuxの両方を標的としています. Redisをターゲットにする場合, Xbashは、最初にサービスがWindowsで実行されているかどうかを確認します. これが確認された場合, 次に、Windows用のクリプトマイナーをダウンロードして実行する目的で悪意のあるJavaScriptまたはVBScriptペイロードを送信します.
注目に値するもう1つの技術的機能は Xbashのイントラネットスキャン機能 エンタープライズイントラネットを備えた脆弱なサーバーがターゲットになっている場所. この機能はまだ有効になっておらず、サンプルでのみ表示されることに注意してください.
パロアルトの研究者は、これまでに4つの異なるバージョンのXbashマルウェアを発見しました.
これらのバージョン間のコードとタイムスタンプの違いは、巨大なマルウェアがまだ活発に開発されていることを示唆しています. ボットネットの運用は今年5月頃に開始されました. 研究者は監視しました 48 Xbash作成者が使用するビットコインウォレットアドレスへの着信トランザクション. これはそこにあることを意味するかもしれません 48 特にランサムウェアの動作の犠牲者.