はじめに
サイバーセキュリティ研究者たちは、レガシーなボットネット機能と現代的な回避技術を融合させた、巧妙なLinuxマルウェアキャンペーンを発見しました。この新種のLinuxマルウェアは、Mirai由来の分散型サービス拒否(DDoS)機能と、ステルス性の高いファイルレス型仮想通貨マイニング操作を組み合わせることで、脅威アクターの進化する巧妙さを示しています。
Cyble Research & Intelligence Labs (CRIL) の調査によると、この多段階攻撃はx86_64、ARM、MIPSアーキテクチャを標的とし、プロセス偽装、rawソケットスキャン、動的ランタイム設定などの高度な回避技術を採用しています。CRILのアナリストが追跡しているこのキャンペーンは、現代の脅威アクターがますます好むハイブリッドな収益化戦略を体現しています。
多段階感染チェーン
攻撃は「Universal Bot Downloader」と呼ばれるコンパクトなシェルスクリプトから始まります。これは uname -m コマンドを使用してターゲットシステムのCPUアーキテクチャを自動的に識別します。この偵察に基づき、スクリプトは攻撃者が制御するサーバー (103.149.93[.]224) からアーキテクチャ固有のバイナリをダウンロードします。ペイロードは /tmp ディレクトリに書き込まれ、実行可能権限が割り当てられ、直ちに起動されます。これはIoTおよびクラウドを標的とするボットネットが多様な環境で迅速な展開を求める際の標準的な戦術です。
第二段階のペイロード「Mddos.x86_64」は、静的にリンクされ、UPXでパックされたELFバイナリで、静的解析を困難にするためにシンボルが削除されています。実行されると、マルウェアはカーネルおよびアーキテクチャの詳細を収集し、プロセスの制限を確認して運用上の積極性を判断し、そのコマンド&コントロール(C2)インフラストラクチャに被害マシンを登録します。署名バナー「xXxSlicexXxxVEGA」がSTDOUTに表示され、2023年にUnit42が以前に文書化したV3G4 Miraiバリアントの挙動パターンと一致します。
初期化されると、マルウェアは正当な systemd-logind システムデーモンに偽装してステルスモードに移行します。 prctl(2) システムコールを使用して、 /proc/self/cmdline のコマンドライン表示を変更しようとしますが、カーネル保護によってこの変更が妨げられる場合があります。マルウェアは setsid(2) を使用して制御端末からデタッチし、標準入出力ストリームを閉じ、ユーザーの目に見えない形でバックグラウンドで静かに実行されます。
ボットネットは、攻撃操作、ウォッチドッグ監視、C2通信を担当する複数のワーカーワーカースレッドを生成します。特に、内部のプロセス間通信チャネルとして機能する127.0.0.1:63841でTCPリスナーを確立します。このローカルホストのトラフィックは、マルウェアが正当なシステムデーモンと混ざり合うのを助け、パイプや共有メモリよりもアクティビティの疑わしさを減らします。
ボットネットの挙動とC2通信
この亜種の重要な特徴は、raw TCPソケットを使用してインターネット全体で高速SSHスキャンを実行することです。マルウェアは、多数のターゲットIPアドレスのポート22にSYNパケットを散布し、手動でIPv4パケットヘッダーを作成して、自動スキャンおよび潜在的なブルートフォースキャンペーンを実施します。この挙動は、インターネット全体でのSSHスキャン操作で知られるMirai由来のボットネットファミリーと密接に一致します。
同時に、マルウェアは持続的なC2接続のためにキープアライブオプション付きの標準TCPソケットを作成します。複数のワーカースレッドがGoogle Public DNS (8.8.8.8) への繰り返しクエリを通じてC2ドメイン www.baojunwakuang[.]asia を積極的に解決し、IPアドレス159.75.47[.]123にマッピングします。このマルチスレッドDNS解決戦略は、Miraiスタイルのボットネットの象徴であり、攻撃を並行して実行しながら堅牢なコマンドチャネルを確保します。
ファイルレス型クリプトマイナー
第三段階では、高度なステルス技術を通じて隠蔽されたXMRigベースのMoneroマイナーが展開されます。ローダーはC2サーバーからUPXパックされたXMRigバイナリをフェッチし、正当なシステムプロセスと混ざり合うために /tmp/.dbus-daemon に保存します。静的構成ファイルを埋め込む一般的な展開とは異なり、このマイナーは実行時に動的に構成を受け取ります。これはディスク上のアーティファクトを回避し、フォレンジック分析を妨げるファイルレスのアプローチです。
実行中、マイナーはC2サーバーに接続して構成データを要求し、プールURL、ウォレットアドレス、アルゴリズム仕様、スレッド数を含むJSONブロブを受け取ります。この技術により、オペレーターは静的分析中にウォレット情報を露出させることなく、マイニングパラメータを動的にローテーションできるため、セキュリティ研究者による検出と帰属がより困難になります。
組織への影響
このキャンペーンは、従来のボットネット機能と現代の仮想通貨マイニング操作の融合を示しています。DDoS機能とXMRigベースのマイニングの組み合わせは、侵害されたデバイスからの投資収益率を最大化するという脅威アクターの焦点を反映しています。Linuxサーバー、クラウドワークロード、または露出したIoTデバイスを運用する組織は、サービスを同時に中断させ、計算リソースを消費する可能性のあるこのようなハイブリッドな脅威から、より高いリスクに直面しています。