40万のLinuxサーバーがEburyボットネットに感染し、件数が増加中

ボットネットは、サイバーセキュリティ攻撃を行う悪意のある攻撃者にとって便利です。

Eburyは、2009年からLinuxサーバーを悩ませているボットネットマルウェアの一つです。

15年経った今でも存在し続け、新しい戦術を用いて進化しています。

ESETの研究者たちは、マルウェアがサーバーに感染する方法と、それがさらに広がるのを防ぐための対策を説明した新しい報告書を発表しました。

Eburyボットネットマルウェアとは何か、その影響は？

Eburyボットネットマルウェアは、侵害されたサーバーから認証情報を盗みます。これは純粋に金銭的利益のために設計されており、機密データはダークウェブで販売されたり、影響を受けたサーバー管理者を脅迫するために使用されたりします。

15年の間に、Eburyは40万以上のLinuxサーバーに成功裏に侵入しました。それは少なくない数字ですが、ESETによれば、実際に侵害されたのはわずか25パーセントです。

つまり、約10万のサーバーがまだ感染しており、Eburyの存在に気づいていません。

「加害者は、彼らが侵害したシステムを追跡しており、私たちはそのデータを使用して、毎月ボットネットに追加された新しいサーバーの数のタイムラインを描きました」とESETは述べています。

ボットネットマルウェアの作成者が2017年に逮捕された後も、それは広がり続けました。ESETは定期的にハニーポットを展開し、Eburyを誘い込んで感染させ、マルウェアを研究しています。

しかし、時間が経つにつれて、ハニーポットはEburyの感染に反応する能力が劣化してきました。そのような事件の一つでは、マルウェアが「Hello ESET honeypot」というメッセージを大胆に送信しました。

マルウェアはハニーポットを特定する能力が向上しており、研究者にとってますます困難になっています。

Eburyはホスティングプロバイダーをターゲットにするのが好きです。なぜなら、彼らは複数のサーバーへのゲートを開くからです。一つのサーバーを狙うのではなく、複数のサーバーを捕らえて監視することが彼らにとって魅力的です。

ESETは仮想サーバーをレンタルし、Eburyは1週間以内にそれを感染させました。

ハッカーはまた、トラフィックを傍受し、ユーザーを認証情報を取得するサーバーにリダイレクトするのが好きです。

暗号通貨ノードは主要なターゲットです。なぜなら、彼らはウォレットの認証情報にアクセスし、その後お金を移転するからです。

マルウェアは痕跡を隠すのが非常に得意です。管理者の目から隠れるために新しい難読化技術を使用します。

オランダ国家ハイテク犯罪ユニット（NHTCU）とESETは、暗号通貨盗難の被害者のサーバーでマルウェアを発見した後、協力しました。

マルウェアについて詳しく知りたい方は、公式の研究論文をチェックしてください。また、GitHubで入手可能なEbury検出スクリプトを試すこともできます。