編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

「cron」ジョブに潜むマルウェアが発見される--実行日を存在しない日付に設定

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2021-11-29 12:07

 珍しい新たな方法でサーバー上に身を隠す新たなリモートアクセス型トロイの木馬(RAT)が、セキュリティ研究者によって発見された。

 BleepingComputerが最初に報じたところによると、この新しいマルウェア「CronRAT」は、存在しない2月31日に実行されるよう設定されており、Linuxサーバーのスケジュールされたタスク内に身を隠すという。

 このところ、Linuxサーバーを標的とする「Magecart」マルウェアが拡大しているが、Eコマースセキュリティを専門とするSansecが発見し、命名したCronRATもその1つだ。CronRATは、サーバー側でMagecartを使ってデータを窃取するために使用される。

 SansecはCronRATについて、「高度な」マルウェアと説明しており、ほとんどのウイルス対策ベンダーは依然としてこのマルウェアを検出できていない。同社は、CronRATのサンプルを受け取って仕組みを確認した後、このマルウェアを検出できるように検出エンジンを書き直す必要があった。

 CronRATという名前は、Linuxの「cron」ツールに由来する。このツールを使用すれば、管理者はLinuxシステムでスケジュールされたジョブを作成し、特定の時刻や曜日に実行することができる。

 Sansecは、「CronRATが最も厄介なのは、存在しない日にLinuxサーバーのカレンダーサブシステム(cron)に身を隠すことだ。これにより、サーバー管理者の目に留まるのを避けることができる。また、多くのセキュリティ製品はLinuxのcronシステムをスキャンしない」と説明でしている。

 Sansecによると、このマルウェアは、「自己破壊、タイミング変調、外部の制御サーバーと通信するためのカスタムバイナリプロトコルを備えた高度な『BASH』プログラム」をドロップするという。

 スキミングによってクレジットカード情報を盗む犯罪集団Magecartがすぐに姿を消すことはないだろう。現在もコロナ禍が続く中、Eコマースはショッピングで重要な役割を果たしているからだ。ブラックフライデーを前に、英国家サイバーセキュリティセンター(NCSC)は、この18カ月間に4151の小売業者がチェックアウトページのバグを標的とするハッカーにセキュリティが侵害されたことを明らかにし、注意を促した。そうした攻撃のほとんどは、人気の高いEコマースプラットフォーム「Magento」のバグを標的としていた。米連邦捜査局(FBI)は2020年、Magentoプラグインを標的とするMagecart攻撃者について、同様の警告を発している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]