新たに発見された「Chaos」と呼ばれるクロスプラットフォーム対応のマルウェアが「Linux」システムや「Windows」システム上で拡散しており、オンラインゲーム会社や仮想通貨交換所、サービスとしてのDDoSを提供している競合サイトに対する分散DDoS攻撃用のリソースを収集しているという。米インターネットインフラ企業Lumen Technologiesが米国時間9月28日に同社ブログで報告した。
提供:Alfa Photo / Shutterstock
このマルウェアは、クラウドやシステム向けのプログラミング言語としてGoogleが開発し人気を博している「Go」で記述されており、WindowsシステムやLinuxシステムを標的としている。またLumenのサイバーセキュリティ部門であるBlack Lotus Labsの調査によると、このマルウェアはx86やx86-64、AMD64、MIPS、MIPS64、ARMv5〜ARMv8、AArch64、PowerPCといった複数のチップアーキテクチャーをサポートしているため、ルーターやIoT機器、企業のサーバーなどさまざまな機器への感染が可能となっているという。
Chaosは、ファイアウォール機器に存在している、パッチが適用されていない既知の脆弱性を悪用し、ネットワークに侵入するための足掛かりを築く。そうした脆弱性には、華為技術(ファーウェイ)の家庭向けおよび小規模企業向け無線ルーター「Huawei HG532」に存在する「CVE-2017-17215」や、ZyXELのルーターに存在することが最近発見された「CVE-2022-30525」という、リモートコード実行(RCE)の脆弱性が含まれている。
Lumenによると、このマルウェアは中国の脅威アクターが開発したものであるとみられ、リバースエンジニアリングを困難にするためにプログラミング言語Goで記述されているという。現時点でChaosのサンプルは約100件発見されており、これらはホスト環境のプロファイルの取得や、感染した機器へのリモートコマンドの送信、新機能の追加、SSH秘密鍵の推測によるネットワークをまたがる拡散、DDoS攻撃のローンチを可能にするものだという。
このマルウェアは最近、ゲームや、金融関連のサービス/テクノロジー、メディアおよびエンターテインメントの分野のサイトを標的にしたDDoS攻撃で用いられている。また、仮想通貨取引所も標的にしている。
Lumenは「Chaosマルウェアがさまざまな種類のコンシューマー向けや法人向けの機器で動作する点や、多目的用途での使用に耐えられる機能性、背後にあるネットワークインフラのステルス性を考えた場合、そのアクティビティーが、初期の侵入や、DDoS攻撃、仮想通貨のマイニングを実行するために感染機器のネットワークを拡大しているサイバー犯罪アクターの仕業であるのは、ほぼ間違いないと考えている」と記している。
また同社は、Chaosが「Kaiji」というIoTマルウェアの新たなバージョンだと確信している。Kaijiは、Linuxに特化したセキュリティリサーチを手掛けるMalwareMustDieが2020年に発見したマルウェアだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。