新しい InterPlanetary Storm マルウェアの亜種は、IoT デバイスを標的にしています。 感染したデバイスは、クリプトマイニング、DDoS、およびその他の大規模な攻撃のバックドアを開きます。
InterPlanetary Storm マルウェアの背後にいるサイバー犯罪組織が、Windows および Linux コンピューターに加えて Mac および Android デバイスを標的とする新しい亜種をリリースしました。 このマルウェアは、現在、世界 13.500 か国で感染した約 84 台のコンピューターを含むボットネットを構築しており、その数は増え続けています。
Windows と Linux の後、IoT デバイスになりました
Windows マシンを標的とした InterPlanetary Storm の最初の亜種が 2019 年 XNUMX 月に発見され、Linux マシンを攻撃できる亜種が今年の XNUMX 月に報告されました。 バラクーダの研究者が XNUMX 月下旬に初めて発見した新しい亜種は、Android オペレーティング システムを実行するテレビなどの IoT デバイスや、SSH サービスの構成が不十分なルーターなどの Linux ベースのマシンを標的にしています。 このマルウェアを構築するボットネットにはまだ明確な機能がありませんが、感染したデバイスへのバックドアをキャンペーン オペレーターに提供し、後でクリプトマイニング、DDoS、またはその他の大規模な攻撃に使用できるようにします。
マルウェアに感染したコンピュータの大半は、現在アジアにあります。
• 感染したコンピュータの 59% は、香港、韓国、および台湾にあります。
• ロシアとウクライナで 8%
• ブラジルで 6%
• 米国およびカナダでは 5%
• スウェーデンでは 3%
• 中国では 3%
• 他のすべての国は 1% 以下を登録しています (ドイツは現在 0,5%)。
新しい InterPlanetary Storm マルウェアの仕組み
新しい InterPlanetary Storm マルウェアの亜種は、別のピアツーピア (P2P) マルウェアである FritzFrog と同様に、SSH サーバーで辞書攻撃を実行することによってマシンへのアクセスを取得します。 また、オープンな ADB (Android Debug Bridge) サーバーにアクセスしてアクセスすることもできます。 このマルウェアは、被害者の CPU アーキテクチャとオペレーティング システムを認識しており、ルーターやその他の IoT デバイスが非常に一般的に使用するアーキテクチャである ARM ベースのマシンで実行できます。 このマルウェアは、IPFS (InterPlanetary File System) p2p ネットワークとその基盤となる libp2p 実装を使用するため、InterPlanetary Storm と呼ばれています。 これにより、感染したノードは互いに直接、または他のノード (リレーなど) を介して通信できます。
新しいバリアントの特別な機能
InterPlanetary Storm のこの亜種は Go で記述され、libp2p の Go 実装を使用し、UPX でパッケージ化されています。 SSH ブルート フォースとオープン ADB ポートを使用して増殖し、マルウェア ファイルをネットワーク内の他のノードに配信します。 このマルウェアは、リバース シェルも有効にし、bash シェルを実行できます。 新しい亜種には、マルウェアがマシンに感染した後も永続的に保護されたままになるように設計された独自の機能がいくつかあります。
- ハニーポットを検出します。 マルウェアは、標準のシェル プロンプト (PS04) で文字列「svr1」を検索します。これは、以前は Cowrie ハニーポットで使用されていました。
- 自動的に更新されます。 マルウェアは、実行中のインスタンスのバージョンを利用可能な最新バージョンと比較し、それに応じて自身を更新します。
- Go Daemon パッケージを使用してサービス (system/systemv) をインストールすることにより、永続化を試みます。
- デバッガーや競合するマルウェアなど、マルウェアに脅威を与えるマシン上の他のプロセスを停止します。
惑星間嵐の新たな亜種に対する防御策
- すべてのデバイスでの SSH アクセスの適切な構成: これは、パスワードの代わりにキーが使用され、アクセスがより安全になることを意味します。 パスワード ログインが有効で、サービス自体にアクセスできる場合、マルウェアは構成が不十分な攻撃面を悪用できます。 これは、多くのルーターや IoT デバイスにとって問題であり、このマルウェアの標的になりやすいです。
- クラウド セキュリティ体制管理ツールを使用して SSH アクセス制御を監視し、重大な結果をもたらす可能性のある構成エラーを回避します。 必要に応じて、シェルへの安全なアクセスを提供する必要があります。 リソースをインターネット上の脅威にさらす代わりに、広範な IP ネットワークへのアクセスを許可するのではなく、MFA 対応の VPN 接続を展開し、特定のニーズに合わせてネットワークをセグメント化する必要があります。
Barracuda.com のブログで詳細をご覧ください。
[スターボックス=5]