2017年1月24日

株式会社Doctor Web Pacific

既に2016年の終わりには、Linuxを標的とする悪意のあるプログラムの増加がDoctor Webのセキュリティリサーチャーによって確認されていました。そしてこの度、新たなトロイの木馬に感染した数千台のLinuxデバイスが発見されました。

多くのLinuxネットワークデバイスを感染させるためにサイバー犯罪者によって使用されていたトロイの木馬 Linux.Proxy.10 は、その名の示す通り、感染したデバイス上でフリーウェアSatanic Socks Server のソースコードに基づいてSOCKS5プロキシサーバーを動作させるよう設計されています。サイバー犯罪者はオンライン上での匿名性を確保するためにこのトロイの木馬を用いています。

Linux.Proxy.10 を拡散するため、サイバー犯罪者はSSHプロトコル経由で脆弱なデバイス上にログインし、デバイスとそのログインおよびパスワードのリストをサーバー上に保存します。リストは«IPアドレス:ログイン:パスワード»のようになります。多くの場合、これらのデータは別のLinux向けトロイの木馬によって作成されているという点に注意する必要があります。つまり、 Linux.Proxy.10 は標準設定で使用されているか、または既に別のLinux向けマルウェアに感染しているコンピューターやデバイス上に侵入します。

このリストを使用してスクリプトが生成されます。次に、そのスクリプトがsshpassを使用して実行され、システムを Linux.Proxy.10 に感染させます。

また、 Linux.Proxy.10 を拡散させているサイバー犯罪者の所有するサーバーには脆弱なデバイスのリストのみでなく、Spy-Agentのコントロールパネルと、既知のトロイの木馬スパイウェアファミリー BackDoor.TeamViewer に属するWindows向けマルウェアが含まれているということがDoctor Webセキュリティリサーチャーによって確認されています。

Linux.Proxy.10 を使用して起動されたプロキシサーバーに接続するために、サイバー犯罪者が必要とするものは、感染したデバイスのIPアドレスおよびコンパイル中にトロイの木馬の本体に保存されたポート番号の2つのみです。Doctor Webでは Linux.Proxy.10 に感染したデバイスの数を割り出すことに成功し、2017年1月24日の時点で、その数は数千台となっています。

お使いのデバイスを Linux.Proxy.10 から保護するため、感染が疑われる場合はDr.Web Anti-virus 11.0 for Linux を使用してSSHプロトコル経由でリモート・スキャンを実行することが推奨されます。