AI駆動ツールがLinuxサーバーを標的とする「GhostPenguin」バックドアを発見
トレンドマイクロの研究チームは、AI駆動の脅威ハンティングツールを駆使し、ステルス性の高いLinuxバックドア「GhostPenguin」を発見しました。このマルウェアは、VirusTotalに提出されてから4ヶ月以上にわたり検出を回避しており、Linuxサーバー環境に深刻な脅威をもたらす可能性があります。
検出を逃れた巧妙なマルウェア「GhostPenguin」
GhostPenguinは、低プロファイルを維持しながら、攻撃者に包括的なリモートアクセスとファイルシステム操作機能を提供するように設計された、新種のマルウェアです。独自のセッションハンドシェイクメカニズムを確立し、複数のスレッドを同期させて、登録、ハートビートシグナル、信頼性の高いコマンド配信といった重要な機能を処理します。そのアーキテクチャは、ステルス性と永続性を優先しており、Linuxサーバー環境にとって特に危険な存在です。
AI駆動型脅威ハンティングのブレイクスルー
このバックドアの発見は、プロアクティブな脅威ハンティング手法における重要な進歩を示しています。トレンドマイクロの研究チームは、VirusTotalからゼロ検出のLinuxサンプルを特定するために、AI駆動型の自動脅威ハンティングパイプラインを採用しました。従来のシグネチャベースの検出に依存するのではなく、数千のマルウェアサンプルからアーティファクトを抽出し、構造化されたプロファイルを生成しました。これにカスタムYARAルールとVirusTotalハンティングクエリを組み合わせることで、これまで検出されなかった脅威を特定することに成功しました。
GhostPenguinの技術的深掘り
- GhostPenguinは、マルチスレッドのC++バックドアであり、RC5暗号化されたUDPチャネルを介してポート53でコマンド&コントロール(C2)サーバーと通信します。
- 実行時、GhostPenguinはIPアドレス、ゲートウェイ詳細、OSバージョン、ホスト名、ユーザー名などの広範なシステム情報を収集し、登録フェーズ中にC2サーバーに送信します。
- リモートオペレーターからのコマンドを受信・実行し、リモートシェルアクセス(「/bin/sh」経由)および広範なファイル操作(ファイルの作成、削除、名前変更、コンテンツの読み書き、タイムスタンプの変更、特定の拡張子によるファイルの検索など)を可能にします。
- ディレクトリ操作も同様に包括的で、完全なファイルシステムトラバーサルと操作を許可します。
- 本質的に信頼性の低いUDPプロトコル上にカスタムの信頼性レイヤーを実装することで、ネットワークパケットが失われた場合でもコマンドと結果が確実に配信されるようにしています。
活発な開発状況と対策
分析により、GhostPenguinが現在も活発に開発中であることが明らかになりました。デバッグアーティファクト、実装されているが呼び出されていない未使用の永続化機能、および個別のテストドメインとIPアドレスを含む残されたデバッグ構成変数がその証拠として挙げられます。これは、このバックドアが成熟した実稼働可能な脅威ではなく、開発段階にあることを示唆しています。
トレンドマイクロのTrend Vision Oneプラットフォームは、現在GhostPenguinに関連する侵害インジケーター(IoC)を検出およびブロックしており、顧客にハンティングクエリ、脅威インサイト、インテリジェンスレポートを提供しています。この発見は、企業環境全体のLinuxサーバーインフラストラクチャに重大なリスクをもたらし続ける、洗練された回避的なマルウェアを特定する上で、AIによる自動脅威ハンティングの重要性が増していることを明確に示しています。