Koskeと名付けられた新しいLinuxマルウェアが人工知能によって開発された可能性があり、一見無害に見えるパンダのJPEG画像を利用して、マルウェアをシステムメモリに直接展開しています。
サイバーセキュリティ企業AquaSecの研究者がKoskeを分析し、「高度なLinux脅威」と表現しました。観察された適応的な挙動から、研究者らはこのマルウェアが大規模言語モデル(LLM)や自動化フレームワークを用いて開発されたと考えています。
Koskeの目的は、CPUおよびGPUに最適化された暗号通貨マイナーを展開し、ホストの計算リソースを使って18種類以上のコインをマイニングすることです。
AquaSecは、攻撃に使用されたセルビア拠点のIPアドレス、スクリプト内のセルビア語のフレーズ、マイナーをホストしているGitHubリポジトリ内のスロバキア語を特定しましたが、確実な帰属はできませんでした。
パンダによる攻撃
最初の侵入は、オンライン上に公開されたJupyterLabインスタンスの設定ミスを利用してコマンド実行を達成することで行われます。
足場を築いた後、攻撃者はOVH images、freeimage、postimageなどの正規サービスにホストされた2枚のパンダのJPEG画像をダウンロードします。しかし、これらの画像には悪意のあるペイロードが隠されています。
AquaSecは、脅威アクターが画像内にマルウェアを隠すためにステガノグラフィを使用せず、ポリグロットファイル(複数のフォーマットで有効なファイル)に依存していることを強調しています。
Koskeの攻撃では、同じファイルが画像としてもスクリプトとしても解釈される可能性があり、どのアプリケーションが開くかによって異なります。
パンダ画像はJPEGフォーマットの有効な画像ヘッダーを持ちながら、ファイル末尾に悪意のあるシェルスクリプトやCコードも含まれており、両方のフォーマットが個別に解釈されることが可能です。
ユーザーがそれらを開くと可愛いパンダが表示されますが、スクリプトインタープリターが開くとファイル末尾のシェルコードが実行されます。
出典:AquaSec
AquaSecが発見した攻撃では、各画像に1つずつペイロードが隠されており、両方が並行して実行されます。
「1つ目のペイロードはメモリ上に直接書き込まれ、コンパイルされて.soファイルとして実行されるCコードで、ルートキットとして機能します」とAquaSecは説明しています。
「2つ目はシェルスクリプトで、これもメモリ上で実行され、標準的なシステムユーティリティを使用してステルスに動作し、痕跡をほとんど残さずに永続性を維持します。」
シェルスクリプトはLinuxのネイティブユーティリティを悪用してメモリ上で直接実行され、30分ごとに実行されるcronジョブやカスタムsystemdサービスを通じて永続性を確立します。
また、ネットワークのハードニングやプロキシ回避も行い、/etc/resolv.confをCloudflareやGoogle DNSに書き換えてchattr +iコマンドでロックし、iptablesをフラッシュし、プロキシ変数をリセットし、curl、wget、TCPチェックを使ったカスタムモジュールで有効なプロキシを総当たりで探します。
このような適応性と挙動が、AquaSecの研究者が脅威アクターがLLMや自動化プラットフォームを用いてマルウェアを開発したと疑う理由となっています。
Cベースのルートキットはメモリ上でコンパイルされ、LD_PRELOADを利用してreaddir()関数をオーバーライドし、ユーザースペースの監視ツールからマルウェア関連のプロセス、ファイル、ディレクトリを隠します。
ルートキットはkoskeやhideprocなどの文字列、または/dev/shm/.hiddenpidから読み取った隠しPIDに基づいてエントリをフィルタリングします。
ネットワークアクセスを確立し永続性を設定した後、シェルスクリプトはGitHubから暗号通貨マイナーをダウンロードします。
出典:AquaSec
展開前に、ホストのCPUとGPUが評価され、どのマイナーが最も効率的かが判断されます。
Koskeは、追跡が困難なMonero、Ravencoin、Zano、Nexa、Tariなどを含む18種類のコインのマイニングに対応しています。
コインやマイニングプールが利用できなくなった場合、マルウェアは内部リストから自動的にバックアップに切り替え、高度な自動化と適応性を示しています。
AquaSecは、KoskeのようなAI駆動型マルウェアはすでに脅威であるものの、将来の亜種はリアルタイムの適応性を活用し、さらに危険な脅威へと進化する可能性があると警告しています。
クラウド検知&対応入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を防ぎましょう。
クラウド検知と対応(CDR)がセキュリティチームにどのような優位性をもたらすか、この実践的で分かりやすいガイドで学びましょう。
翻訳元: https://www.bleepingcomputer.com/news/security/new-koske-linux-malware-hides-in-cute-panda-images/