「Linux」マルウェア「OrBit」発見--検出、削除が難しい新種

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2022-07-11 10:38

 感染したマシンやサーバーへのバックドアを作成する新種の「Linux」マルウェアが発見された。このマルウェアは、サイバー犯罪者が機密情報をこっそり盗むことを可能にするだけでなく、ネットワーク上で永続性を維持する。

キーボードを叩いているハッカーの手
提供:Getty Images

 今回初めて検出されたこのマルウェアは、「OrBit」と呼ばれている。Intezerによると、OrBitが実行コマンドの出力を一時的に保存するために使用するファイル名が、その名称の由来であるという。

 Linuxは、サーバーやクラウドインフラストラクチャーで人気の高いOSであり、サイバー犯罪者にとって魅力的な標的となっている。

 OrBitマルウェアによって、サイバー犯罪者は、Linuxシステムへリモートアクセスしてユーザー名とパスワードを盗んだり、ttyコマンドをログに記録したりできるようになる。

 これに加えて、マルウェアはマシン上で実行中のプロセスに感染させることもできるため、最終的にハッカーがシステムを乗っ取って情報を監視および窃取することを可能にするだけでなく、侵害したシステムへのバックドアも維持できる。

 インストールされたOrBitは、マシンへのリモート接続をセットアップし、Linux Pluggable Authentication Module(PAM)の関数をフックする。これにより、OrBitはネットワーク活動を被害者に検出されないようにしながら、SSH(Secure Shell Protocol)接続から情報を窃取し、攻撃者にリモートアクセスを提供できるようになる。

 さらに、OrBitは永続性が高くなるように設計されているため、実行中に、感染したマシンから削除するのは困難である。これは、ほかのプロセスの前に同マルウェアを読み込むよう指示することで、削除を難しくしているためだ。

 また、OrBitは、出力を操作し、悪意ある活動が記録されないようにすることで、自らの存在を明らかにする情報が検出されるのを防いでいる。

 IntezerのマルウェアアナリストNicole Fishbein氏は、「ほかの脅威と違って、このマルウェアはさまざまなコマンドやユーティリティーから情報を窃取し、マシン上の特定のファイルに保存する」と述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]