ハッカーたちは、OrBitとして知られる潜行性Linuxルートキットを継続的に悪用し、SSHおよびsudo認証情報を収集しており、新しい研究では、この脅威が4年間の間に静かに進化を続けながら現在も野生で活動していることが示されている。
2022年に初めて分析されたOrBitは、最初はカスタムビルドされたLinuxユーザーランドルートキットと考えられていた。これはシステムの動的リンカ(ld.so)をハイジャックすることで動作し、すべての実行プロセスに悪意のある共有ライブラリが読み込まれるようにしている。
これにより、攻撃者は認証フローをインターセプトし、認証情報をキャプチャし、管理者からの存在を隠すことができる。
Intezerレポートによると、OrBitはユニークな創作ではないことが明らかになった。代わりに、2022年後半にGitHubで公開されたオープンソースのLD_PRELOADルートキットであるMedusaの再パッケージ版である。
脅威アクターは新しいマルウェアを開発する代わりに、この公開されているコードベースを異なる設定、認証情報、およびステルス技術で修正・再展開してきた。
デプロイされると、OrBitはパッシブな侵入ツールとして機能する。従来のコマンド・アンド・コントロール通信には依存しない。代わりに、攻撃者は隠されたSSHバックドアを通じて侵害されたシステムにアクセスする。
一方、ルートキットはPluggable Authentication Modules(PAM)にフックしてSSHログインおよびsudoアクティビティからユーザー名とパスワードを静かにキャプチャし、/lib/libseconf/などの隠しディレクトリにローカルに保存する。
OrBitルートキット Linuxを狙う
マルウェアのステルス機能は特に高度である。40以上のlibc関数にフックすることで、OrBitはファイル、プロセス、およびネットワーク接続を隠すことができ、検査下でも感染したシステムはきれいに見える。
2022年から2026年のサンプルを追跡する研究者は、2つの主要なバリアントを特定した。最初のものはLineage Aと呼ばれ、認証情報収集、ネットワーク隠蔽、パケットキャプチャ、およびバックドアアクセスを含む完全機能ビルドである。
2番目のものはLineage Bで、複数の機能を削除した軽量版であり、おそらくフットプリントを削減し、検出を回避するためである。特に、Lineage Bサンプルはしばしば埋め込みパスワードを欠いており、別の認証方法を示唆している。
時間の経過とともに、攻撃者はコアコードを大きく変更していない。代わりに、認証情報をローテーションし、インストールパスを修正し、機能を調整してきた。
例えば、新しいバリアントは、ルートキットを明かす可能性のあるシステム不安定性を防ぐためのカスタム「xread」関数などの互換性修正を導入した。
後続バージョンはまた監査ログ回避を追加し、2025年に、より高度なPAMフックを追加し、攻撃者が認証結果を観察するだけでなく操作することを可能にした。
大きな転換は2025年に発生し、オペレータはマルチステージ感染チェーンを導入した。これにはドロッパーと、システム全体にマルウェアを拡散させ、cronジョブを介してパーシステンスを確立する能力を持つインフェクターが含まれた。
以前のバージョンとは異なり、このバリアントはリモートドメインからペイロードをダウンロードすることで限定的な外部通信を導入し、OrBitが初めてコマンド・アンド・コントロールのような動作を示した。
このキャンペーンにリンクされたインフラストラクチャは、RHOMBUSボットネットを含む古いマルウェアアクティビティと重なるが、属性は不確実なままである。
同時に、OrBitを使用している複数の脅威グループが観察されており、ランサムウェアリンクのBLOCKADE SPIDERと国家支援の諜報グループUNC3886を含む。
この広範な採用は脅威ランドスケープの重要な転換を浮き彫りにしている。OrBitは単一のアクターに限定されなくなり、Linux環境全体にわたって複数のグループがパーシステンスおよび認証情報盗用のために使用する共有ツールキットになった。これには重要インフラおよび仮想化システムが含まれる。
セキュリティエキスパートは、ディフェンダーが攻撃を特定のグループに属性化することに少なくするのではなく、Medusaベースのルートキットの基本的な動作を検出することにより多く焦点を当てるべきと警告している。
その一貫したビルドパターン、隠されたファイルシステムアーティファクト、および認証情報収集技術は、攻撃者がパスとパスワードのような表面的な要素を修正し続けても、侵害の信頼できる指標のままである。
IOC
| SHA256 | 年 | 役割 | 系統 |
|---|---|---|---|
| 40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020 | 2022 | ペイロード | A |
| ec7462c3f4a87430eb19d16cfd775c173f4ba60d2f43697743db991c3d1c3067 | 2022 | ペイロード | A |
| f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8 | 2022 | ドロッパー | – |
| d419a9b17f7b4c23fd4e80a9bce130d2a13c307fccc4bfbc4d49f6b770d06d3b | 2023 | ペイロード | A |
| 296d28eb7b66aa2cbea7d9c2e7dc1ad6ce6f97d44d34139760c38817aec083e7 | 2023 | ペイロード | A |
| 3ba6c174a72e4bf5a10c8aaadab2c4b98702ee2308438e94a5512b69df998d5a | 2023 | ペイロード | B |
| 4203271c1a0c24443b7e85cbf066c9928fcc69934772a431d779017fb85c9d73 | 2023 | ペイロード | B |
| eea274eddd712fe0b4434dbef6a2a92810cb13b8be3deca0571410ee78d37c9f | 2024 | ペイロード | A |
| a61386384173b352e3bd90dcef4c7268a73cd29f6ae343c15b92070b1354a349 | 2024 | ペイロード | A |
| a34299a16cf30dac1096c1d24188c72eed1f9d320b1585fe0de4692472e3d4dc | 2024 | ペイロード | B |
| b1dd18a6a4b0c6e2589312bbec55b392a20a95824ffe630a73c94d24504c553d | 2024 | ペイロード | B |
| 989f7eb4f805591839bcbc321dd44418eb5694d1342e37b7f24126817f10e37e | 2024 | ペイロード(抽出) | B |
| 8ea420d9aa341ba23cdea0ac03951bce866c933ba297268bc7db8a01ce8e9b8e | 2024 | ペイロード(静的ELF) | A |
| 26082cd36fdaf76ec0d74b7fbf455418c49fbab64b20892a873c415c3bb60675 | 2024 | ローダー | – |
| 48a68d0555f850c36f7d338b1a42ed1a661043cacf2ba2a4b0a347fac3cb3ee6 | 2024 | ドロッパー | – |
| fc2e0cb627a00d0e4509bd319271721ea74fb11150847213abe9e8fea060cc8a | 2024 | ドロッパー | – |
| 8e83cbb2ed12faba9b452ea41291bcebdce08162f64ac9a5f82592df62f47613 | 2025 | ペイロード | A |
| 2b2eeb2271c19e2097a0ef0d90b2b615c20f726590bbfee139403db1dced5b0a | 2025 | ペイロード | A |
| 84828f31d741f92ce4bca98cfc2148ff8cff6663e2908a025b1386dd4953ffef | 2025 | ペイロード(切り詰め) | A |
| 090b15fd8912cab340b22e715d44db079ec641db5e2f92916aa1f2bc9236e03e | 2025 | ドロッパー | – |
| 64a3ebd3ad3927fc783f6ac020d5a6192e9778fb16b51cceba06e4ee5416adff | 2025 | ドロッパー | – |
| b85ed15756568b85148c1d432a8920f81e4b21f2bc38f0cf51d06ced619e0e77 | 2025 | ドロッパー | – |
| d3d204c19d93e5e37697c7f80dd0de9f76a2fb4517ced9cafd7d7d46a6e285ba | 2025 | ドロッパー | – |
| 73b95b7d1006caf8d3477e4a9a0994eaa469e98b70b8c198a82c4a12c91ad49a | 2025 | インフェクター | — |
| 04c06be0f65d3ead95f3d3dd26fe150270ac8b58890e35515f9317fc7c7723c9 | 2026 | ペイロード | A |
| d7b487d2e840c4546661f497af0195614fc0906c03d187dc39815c811ea5ec3f | 2026 | ペイロード | A |
| b982276458a85cd3dd7c8aa6cb4bbb2d4885b385053f92395a99abbfb0e43784 | 2020 | RHOMBUSドロッパー | – |
注記: IPアドレスとドメインは意図的に難読化されており(例: [.])、誤った解決またはハイパーリンクを防ぐ。MISPやVirusTotal、またはあなたのSIEMなどの管理されたセキュリティ脅威インテリジェンスプラットフォーム内でのみ難読化を解除してください。
翻訳元: https://gbhackers.com/orbit-rootkit-targets-linux/
