ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

「メッセンジャーを撃て("Do" shoot the messenger)」: Telegramから操作されるバックドア型トロイの木馬がLinuxサーバーを標的に

2024年7月5日

株式会社Doctor Web Pacific


Doctor Webのウイルスアナリストは、コンピューターへの標的型攻撃に使用される悪名高いTgRatトロイの木馬のLinuxバージョンを発見しました。このトロイの木馬の大きな特徴の1つは、Telegramボット経由で操作されるという点です。

このマルウェアは、いささか不愉快ではあるが非常に的を射た略称「RAT」(英語のrat:ネズミ)として知られるリモートアクセス型トロイの木馬(Remote Access Trojan)です。基本的には、RATはCOVIDロックダウン以降なじみ深くなったリモートアクセスツールと同じですが、それを攻撃者が悪用したもので、標的となったユーザーが自分のコンピューターを制御されていることに気が付かないという点が主な違いです。

TgRatトロイの木馬は、元々2022年に初めて発見されたWindows用トロイの木馬で、侵入したコンピューターからデータを盗み出すよう設計されています。そのLinuxバージョンが先ごろDoctor Webのウイルスアナリストによって発見されました。

Doctor Web のウイルスラボにホスティングプロバイダから情報セキュリティインシデントの調査依頼があり、このインシデントを引き起こしていたのがTgRatトロイの木馬のLinuxバージョンであることが明らかになりました。同ホスティングプロバイダのクライアントの1社でDr.Webアンチウイルスによってサーバー上で疑わしいファイルが検出され、このファイルがトロイの木馬ドロッパー(標的となるコンピューターにマルウェアを侵入させるよう設計されたプログラム)でした。このドロッパーはシステム内にトロイの木馬 Linux.BackDoor.TgRat.2 を展開していました。

Linux.BackDoor.TgRat.2 は特定のコンピューターを攻撃するよう設計されています。起動されるとコンピューター名のハッシュとトロイの木馬本体に埋め込まれた文字列を照合し、値が一致しなかった場合、TgRatはそのプロセスを終了します。値が一致した場合はネットワークに接続し、コントロールサーバーと通信を行いますが、そのコントロールサーバーとしてTelegramボットを使用するという一風変わった手法が用いられています。

Telegramは多くの企業で社内コミュニケーション手段として広く利用されているメッセンジャーアプリです。そのため、マルウェアを侵入させて機密情報を盗むためのベクターとして脅威アクターに悪用されるというのは、さして驚くべきことではありません。このプログラムの人気とTelegramサーバーへの定期的なトラフィックが、侵害されたネットワーク上でのマルウェアの格好の隠れ蓑になるからです。

このトロイの木馬はボットが接続されているTelegramのプライベートグループを通じて操作されます。攻撃者はTelegramメッセンジャーを使用してトロイの木馬にコマンドを送ることができます。コマンドを受け取ったトロイの木馬は、侵害されたシステムからファイルをダウンロードする、スクリーンショットを撮る、コマンドをリモートで実行する、ファイルを添付ファイルとしてアップロードするなどの動作を実行します。

Android.Click.414.origin

Windowsを標的としたバージョンと異なり、このトロイの木馬はRSAによって暗号化されています。また、コマンドの実行にbashインタプリタを使用しており、これにより1つのメッセージ内でスクリプト全体を実行することができます。トロイの木馬の各インスタンスには固有の識別子があり、攻撃者は複数のボットを1つのチャットルームに接続してそれらすべてにコマンドを送信することが可能です。

Android.Click.414.origin
Android.Click.414.origin

このように、トロイの木馬とコントロールサーバー間の通信方法は目新しいものではありますが、ネットワークトラフィックを注意深く分析することでこの攻撃を検出することが可能です。Telegramサーバーとのデータのやり取りはユーザーのコンピューターでは珍しくないかもしれませんが、ローカルネットワーク内のサーバーではそうではないからです。

感染を防ぐため、ローカルネットワーク内のすべてのノードにアンチウイルスソフトウェアをインストールすることをお勧めします。Windows、macOS、Android、Linux、FreeBSD向けの Dr.Web Security Suite アンチウイルスソリューションは、お客様のビジネスを確実に保護します。さらに、Doctor Webではネットワーク境界のエッジデバイス向けにStream Engineスキャンテクノロジーに基づくソリューションを提供しています。これにより、実質無遅延でトラフィックデータをスキャンして脅威を検出することができます。

Indicators of compromise (侵害の痕跡)※英語

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments