2017年6月5日

株式会社Doctor Web Pacific

この度、Linuxを標的とする2つの悪意のあるプログラムについて、Doctor Webのセキュリティリサーチャーによる調査が行われました。これらプログラムの1つは感染させたデバイス上に仮想通貨をマイニングするアプリケーションをインストールし、もう1つはプロキシサーバーを起動させます。

Linux.MulDrop.14 という名前でDr.Webのウイルスデータベースに追加された最初の1つは小型コンピューターRaspberry Piのみを攻撃する悪意のあるプログラムで、5月の後半から拡散されています。このトロイの木馬は仮想通貨をマイニングするよう設計されたアプリケーションを圧縮・暗号化された形で含むスクリプトです。 Linux.MulDrop.14 は感染させたデバイス上でパスワードを変更し、マイナーを解凍して起動させます。続けて、開かれた22番ポートを持つネットワークノードを無限ループで検索し、SSHプロトコル経由で接続を確立した後、それらのコンピューター上で自身のコピーを起動させます。

Linux.ProxyM と名付けられたもう1つのトロイの木馬は2017年2月に登場しましたが、その攻撃は5月下旬以降に活発化しました。以下のグラフはDoctor Webスペシャリストによって確認された Linux.ProxyM による攻撃数です：

攻撃を受けたIPアドレスの多くがロシアのものとなっており、その後に中国、台湾が続いています。以下のグラフは Linux.ProxyM による攻撃元の地理的分布を表しています：

このトロイの木馬は、ハニーポット(悪意のあるプログラムについて解析するために情報セキュリティスペシャリストによって用いられるおとりのサーバー)を見分ける特殊な手法を用います。起動されると、 Linux.ProxyM はC&Cサーバーに接続し、そこから承認を受け取った後、感染したデバイス上でSOCKSプロキシサーバーを起動させます。サイバー犯罪者はオンライン活動を匿名化する目的でこのトロイの木馬を使用することができます。

上記トロイの木馬はいずれもLinux向けDr.Web製品によって検出・削除されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。

• Linux.MulDrop.14の技術的説明(英語)
• Linux.ProxyMの技術的説明(英語)