fossBytesに8月12日(米国時間)に掲載された記事「Linux.lady — This Trojan Converts Linux Servers Into Bitcoin Mining Monsters」が、「Linux.lady」と呼ばれる新しいトロイの木馬が報告されたことを伝えた。このマルウェアは誤った設定をされたRedisサーバ経由で感染し、感染したサーバを攻撃者のビットコイン採掘機として悪用するとされている。
この新たなトロイの木馬はロシアのアンチウィルスファーム「Dr.Web」が報告したもの。Redis NoSQLデータベースを実行しているLinuxサーバを狙うマルウェアで、不適切に設定されているRedisをターゲットとして感染することで影響を広げている。記事ではこのマルウェアの影響を受けるRedisサーバは3万台に上ると指摘している。
このマルウェアの興味深い点として、開発されているプログラミング言語がGoogleのGoであることが挙げられている。Linux.ladyは感染後にLinux.Downloader.196と呼ばれる別のトロイの木馬を使って必要になるほかのソフトウェアをダウンロード。感染したサーバの情報を制御サーバに送信し、制御サーバからの指示に従ってビットコイン・マイニングを開始する。このトロイの木馬はLinuxの脆弱性は悪用せず、Redisサーバの脆弱性のみを悪用している。
Redis NoSQLデータベースはキーバリューストア形式のデータベースで、特定の用途で広く使われている。Redisはもともと設定が脆弱であることが指摘されており、今回のトロイの木馬もこの弱点を突いている。Redisサーバを使用している場合は設定がセキュアな状態になっているかどうかを確認するとともに、Linux.ladyに感染していないことを確認することが推奨される。