Linux.Hajime ファミリーは2016年に登場し、以降、ウイルスアナリストにその存在を知られています。Telnetプロトコル経由で拡散される、Linuxを標的としたネットワークワームで、ブルートフォース攻撃によってパスワードを取得してデバイスにログインした後、アセンブラ言語で書かれたローダーをデバイス上に保存します。次に、感染させたデバイスを分散型P2Pボットネットに接続させます。 Linux.Hajime はARM、MIPS、MIPSELアーキテクチャのデバイスを感染させることができます。アセンブラ言語で書かれたこのトロイの木馬のローダーは、ARMデバイス向けのものを除き、現在のアンチウイルスでは検出することができません。ARMデバイス向けのローダーについては、アンチウイルス企業一社が調査報告書内で詳しく記載しています。
ARMデバイス向けのローダーに加え、MIPSおよびMIPSELアーキテクチャのデバイスを対象とした同様のモジュールが、半年以上にわたって拡散されています。1つ目は Linux.DownLoader.506 で、2つ目は Linux.DownLoader.356 です。本記事掲載時点で、これらのワームを両方とも検出することができるのはDr.Web製品のみとなっています。また、サイバー犯罪者はトロイの木馬のローダーのほかに標準的なユーティリティを使用してデバイスを感染させている(wget経由で Linux.Hajime をダウンロードするなど)ということが、Doctor Webのウイルスアナリストによって明らかになりました。2017年7月11日以降は、トロイの木馬のダウンロードにtftpユーティリティが利用されています。
この続きは以下をご覧ください
(リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。