OrBitという名称で知られるステルス性の高いLinuxルートキットが4年間にわたり、侵害されたエンタープライズネットワークからSSH認証情報およびSudo認証情報を密かに吸い上げてきた。
当初は高度にカスタマイズされた新奇な脅威と考えられていたが、最近の分析はより暗い実用的な真実を明かしている。OrBitは実はMedusaの選別的に兵器化されたクローンであり、MedusaはGitHubで自由に入手できるオープンソースルートキット である。
新しいマルウェアをゼロから開発する代わりに、複数の異なる脅威アクターは単にパブリックリポジトリの設定スイッチを切り替えるだけで、感染したLinuxシステムに対する見えない支配を維持している。
共有ライブラリとして展開されたOrBitは、LD_PRELOADテクニックを使用してダイナミックリンカーにパッチを適用し、実行中のすべてのシステムプロセスに悪意あるコードを強制的に注入する。
一度システムに根付くと、パッシブな埋め込みとして動作する。40以上の標準システム関数にフックして、パスワードを収集し、その自身のファイル、ネットワーク接続、プロセスをセキュリティツールから完全に不可視にする。
2022年から2026年までのマルウェアの進化を追跡するセキュリティアナリストは、このツールキットの2つの異なる進化系統を発見した。両方ともMedusaのソースコードに由来している。
系統Aは機能完全なビルドを表している。高度なフックを活用してネットワークパケットをスニフし、特定のTCPポートを隠蔽し、認証リクエストをインターセプトする。
2025年には、オペレータは認証結果を偽造するための新しいフックを追加し、攻撃者がログイン試行を自由に承認または拒否できるようにした。
一方、系統Bはダウンサイズされた軽量バリアントである。系統Bを展開する脅威アクターは、パケットキャプチャとパスワード傍受機能を意図的に削除して、より小さなフォレンジックフットプリントを維持している。
ルートキットが誤って 通常のサーバー操作を破損することを防ぐため、オペレータは巧妙な互換性修正を実装した。
システムの読み取り操作を直接呼び出すカスタム関数をエクスポートすることで、ルートキットはGitなどの重要なプログラムに対する独自のフィルタリングメカニズムをバイパスする。このバイパスなしでは、ルートキットはデータストリームを破損し、その存在を管理者に簡単に暴露してしまう。
研究者はUNC3886の特定の構成(同一の暗号化キー、バックドア認証情報、インストールパスを含む)を2024年のOrBitクラスターと直接照合した。
同様に、サイバー犯罪シンジケートBLOCKADE SPIDERはOrBitを使用して、Embargoランサムウェアの展開のためにエンタープライズネットワークを準備しながら、ステルス性のある永続性を確保している。
以下は、2022年から2025年の間に観察された主要なOrBitペイロードおよびドロッパーの要約である。
翻訳元: https://cyberpress.org/orbit-rootkit-steals-credentials/