ファイルレス型Linuxマルウェア「ShadowHS」の脅威
2026年2月2日、サイバーセキュリティの専門家は、新たなステルス性の高いファイルレスLinuxマルウェアフレームワーク「ShadowHS」の出現を警告しました。これは、ポストエクスプロイトツールの進化を示すものであり、従来のマルウェアバイナリとは異なり、メモリ上で完全に動作します。このマルウェアは、防御されたエンタープライズ環境での長期的な永続性を目的とした、高度なオペレーター主導型機能を特徴としています。ShadowHSは、人気のある「hackshell」ユーティリティを大幅に改変し、完全な侵入フレームワークとして武器化されたものです。
巧妙なファイルレス実行と検出回避技術
ShadowHSの核心は、ファイルレス実行という設計原則にあります。マルウェアは匿名ファイルディスクリプタから実行され、プロセスの名前を偽装することで、セキュリティシステムの検出を巧妙に回避します。特筆すべきは、感染チェーン中にペイロードがディスクに一切書き込まれないため、従来のファイル整合性監視やアンチウイルス検査メカニズムを効果的に迂回できる点です。感染は、AES-256-CBC暗号化で保護された多段階の暗号化シェルローダーから始まります。Cyble Research & Intelligence Labs (CRIL)の調査によると、ローダーは実行時にOpenSSL、Perl、gzipなどのランタイム依存関係を検証し、複雑なデコードパイプラインを通じてペイロードを再構築します。その後、偽装されたargvパラメータ(通常はPython3のような正当なプロセスを装う)を使用して、/proc/<pid>/fd/<fd>を介してメモリから直接実行されます。
オペレーター主導型設計による高度な偵察活動
ShadowHSは、その慎重に制御されたランタイム動作によって、他のコモディティマルウェアと一線を画しています。このフレームワークは、直ちにクリプトマイナーをデプロイしたり、データ流出を開始したりするのではなく、環境偵察、セキュリティ制御の発見、および運用上の安全性を最優先します。初期の抑制と広範な休眠機能の明確な分離は、自動化されたマルウェアロジックではなく、意図的なオペレーターの戦略的な意図を示唆しています。マルウェアは、CrowdStrike Falcon Sensor、Sophos Intercept X、Cortex XDR、Microsoft Defender、Elastic Agent、Wazuh、Tanium、および複数のクラウドベンダーエージェントを含む、エンタープライズセキュリティソリューションの積極的なフィンガープリンティングを実行します。ファイルシステムパスチェックとサービス状態列挙の両方を用いてこれらのプラットフォームを検出し、その結果をオペレーターに直接提供することで、情報に基づいた意思決定を支援します。
競合排除と革新的なデータ流出経路
ShadowHSは、競合するマルウェアファミリーを特定し、終了させるための堅牢な競合防止ロジックを実装しています。これには、Rondo、Kinsing、そして悪名高いEbury OpenSSHクレデンシャル窃盗バックドアなどが含まれます。また、競合するクリプトマイナーを積極的に探し、ロードされたカーネルモジュールチェックを通じてカーネルルートキットを検出し、以前の侵害を示す可能性のある削除済みまたはメモリでバックアップされた実行ファイルを列挙します。さらに、AppArmorのようなカーネル保護の調査、ロードされたモジュールを検査し、/procの調査を通じて、深いセキュリティ体制の内部検査を実行します。
ShadowHSの最も洗練された機能の一つは、従来のネットワーク転送を完全にバイパスするオペレーター開始のデータ流出です。SSH、SCP、SFTPに依存する代わりに、フレームワークはGSocketユーザー空間トンネルを利用する専用のステージングヘルパーを実装し、カバートチャネルを確立します。ファイル転送は、ハードコードされたGSocketランデブーエンドポイントである62.171.153[.]47を通じてルーティングされ、オペレーター提供のトークンを使用して認証されます。この技術は、rsyncの標準転送層をDBusベースまたはnetcatスタイルのGSocketトンネルに置き換えることで、ファイアウォール制御とエンドポイント監視を回避するデータ移動を可能にします。見かけ上のループバック宛先は意図的に誤解を招くものであり、接続はローカルネットワークスタックに到達する前にGSocketによって傍受され、目に見えるネットワークセッションを開くことなくリモートでのデータ流出が可能となります。
アクティブ化される機能と推奨される対策
オペレーターが休眠機能をアクティブ化すると、ShadowHSはXMRig、CUDAバックエンド付きXMR-Stak、Kawpowアルゴリズムを使用したGMiner、およびETCHASHをターゲットとするlolMinerなど、複数の暗号通貨マイニングワークフローを展開します。マイニング操作は、プールフェイルオーバーロジックと動的にソースされたワーカー識別子を使用して204.93.253[.]180のインフラストラクチャに接続します。ラテラルムーブメントのためには、SSHサービス検出用のRustscanと、特定されたエンドポイントに対する自動ブルートフォース攻撃用のspiritがダウンロードされます。また、マルウェアには、AWSクレデンシャル、SSHキー、GitLab、WordPressおよびBitrixデータベース、Docker、Proxmox VM、OpenVZコンテナ、およびクラウドプラットフォームメタデータサービスを標的とするクレデンシャル窃盗のための休眠モジュールも含まれています。
そのファイルレスの性質とメモリのみの実行モデルのため、従来のシグネチャベースおよびファイルスキャンセキュリティ制御はShadowHSに対して最小限の保護しか提供しません。効果的な検出には、インメモリ実行パターン、プロセス動作分析、およびカーネルレベルのテレメトリへの可視性が必要です。組織は、疑わしいプロセスの系譜と引数スプーフィングを特定するために、ランタイムアプリケーション自己保護 (RASP)、メモリ内スキャン機能、および行動分析を実装すべきです。ShadowHSの発見は、Linuxを標的とした脅威が、日和見的なボットネットから、エンタープライズインフラストラクチャの戦略的侵害のために設計された洗練されたオペレーター制御のフレームワークへと進化していることを示唆しています。
侵害の痕跡 (Indicators of Compromise – IOCs)
- 91.92.242[.]200 (IPv4) – プライマリペイロードステージングインフラストラクチャ
- 62.171.153[.]47 (IPv4) – データ流出および侵害後の操作のためのオペレーター制御リレー
- 204.93.253[.]180 (IPv4) – マイニング操作用インフラストラクチャ
- 20c1819c2fb886375d9504b0e7e5debb87ec9d1a53073b1f3f36dd6a6ac3f427 (SHA-256) – 主要な難読化されたシェルローダースクリプト
- 9f2cfc65b480695aa2fd847db901e6b1135b5ed982d9942c61b629243d6830dd (SHA-256) – カスタム武装hackshellペイロード
- 148f199591b9a696197ec72f8edb0cf4f90c5dcad0805cfab4a660f65bf27ef3 (SHA-256) – RustScanポートスキャナー
- 574a17028b28fdf860e23754d16ede622e4e27bac11d33dbf5c39db501dfccdc (SHA-256) – spirit-x86_64.tgzアーカイブ
- 3f014aa3e339d33760934f180915045daf922ca8ae07531c8e716608e683d92d (SHA-256) – spirit/-bash (UPXパックバイナリ)
- 847846a0f0c76cf5699342a066378774f1101d2fb74850e3731dc9b74e12a69d (SHA-256) – spirit/-bash (アンパックされたGolangバイナリ)
- 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 (SHA-256) – gpu1/screen miner wrapper
- e11bcba19ac628ae1d0b56e43646ae1b5da2ccc1da5162e6719d4b7d68d37096 (SHA-256) – gpu1/lol miner component
- 0bb7d4d8a9c8f6b3622d07ae9892aa34dc2d0171209e2829d7d39d5024fd79ef (SHA-256) – xmr/xmrigremove.sh
- 9fdaf64180b7d02b399d2a92f1cdd062af2e6584852ea597c50194b62cca3c0b (SHA-256) – gpustak/-bashバイナリ
- b3ee445675fce1fccf365a7b681b316124b1a5f0a7e87042136e91776b187f39 (SHA-256) – gpustak/libxmrstak_cuda_backend.so CUDAバックエンド
- 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 (SHA-256) – gpustak/screen miner wrapper
- 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 (SHA-256) – gpuecho/screen miner wrapper
- 3ba88f92a87c0bb01b13754190c36d8af7cd047f738ebb3d6f975960fe7614d6 (SHA-256) – gpuecho/lol miner component
- 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 (SHA-256) – gpu/screen miner wrapper
- e11bcba19ac628ae1d0b56e43646ae1b5da2ccc1da5162e6719d4b7d68d37096 (SHA-256) – gpu/lol miner component
- 4069eaadc94efb5be43b768c47d526e4c080b7d35b4c9e7eeb63b8dcf0038d7d (SHA-256) – ex/dirtycredz.x86_64 クレデンシャル悪用ツール
- 72023e9829b0de93cf9f057858cac1bcd4a0499b018fb81406e08cd3053ae55b (SHA-256) – ex/payload.so 共有オブジェクトペイロード
- 662d4e58e95b7b27eb961f3d81d299af961892c74bc7a1f2bb7a8f2442030d0e (SHA-256) – ex/overlay helper component
- e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 (SHA-256) – ex/GCONV_PATH=./lol 空のプレースホルダーファイル
- c679b408275f9624602702f5601954f3b51efbb1acc505950ee88175854e783f (SHA-256) – ex/payload.c ペイロードソースコード
- 666122c39b2fd4499678105420e21b938f0f62defdbc85275e14156ae69539d6 (SHA-256) – ex/blast 悪用ユーティリティ
- 8007b94d367b7dbacaac4c1da0305b489f0f3f7a38770dcdb68d5824fe33d041 (SHA-256) – ex/dp Dirty Pipeエクスプロイト
- 072e08b38a18a00d75b139a5bbb18ac4aa891f4fd013b55bfd3d6747e1ba0a27 (SHA-256) – ex/ubu 権限昇格ヘルパー
- 6c50fcf14af7f984a152016498bf4096dd1f71e9d35000301b8319bd50f7f6d0 (SHA-256) – ex/cve-2025-21756 エクスプロイトバイナリ
- 04a072481ebda2aa8f9e0dac371847f210199a503bf31950d796901d5dbe9d58 (SHA-256) – ex/traitor-x86_64 権限昇格ツール
- 19df5436972b330910f7cb9856ef5fb17320f50b6ced68a76faecddcafa7dcd7 (SHA-256) – ex/autoroot.sh 自動ルート昇格スクリプト
- 7fbab71fcc454401f6c3db91ed0afb0027266d5681c23900894f1002ceca389a (SHA-256) – ex/dirtypipe.x86_64 Dirty Pipeエクスプロイト亜種
- e5a6deec56095d0ae702655ea2899c752f4a0735f9077605d933a04d45cd7e24 (SHA-256) – ex/dirtypagetable.x86_64 カーネルエクスプロイトツール
- 7361c6861fdb08cab819b13bf2327bc82eebdd70651c7de1aed18515c1700d97 (SHA-256) – ex/lol/gconv-modules GCONVベースの悪用コンポーネント