AT&Tは9月6日(米国時間)、「Shikitega - New stealthy malware targeting Linux|AT&T Alien Labs」において、Linuxを標的とする新しいマルウェアを発見したと伝えた。

  • Shikitega - New stealthy malware targeting Linux|AT&T Alien Labs

    Shikitega - New stealthy malware targeting Linux|AT&T Alien Labs

「Shikitega」と呼ばれるこのマルウェアはLinuxおよびIoTデバイスの侵害を目的としており、モジュールをダウンロードして実行する多段階の感染チェーンを採用している。感染すると実行が持続するように設定された暗号資産マイナーが実行され、システムの制御が完全に奪われてしまう可能性がある。

このマルウェアが標的のホスト上に展開されると、侵害されたシステムを最大限に制御できるようMetasploitの「Mettle」メータプレータをダウンロードして実行するという。さらに、脆弱性を悪用して権限を昇格し、crontabを介してクリプトマイナーを永続起動させることがわかった。権限の昇格にはCVE-2021-4034およびCVE-2021-3493の脆弱性が悪用されている。

Shikitegaには、検出を回避する機能も提供されている。「Shikata Ga Nai(仕方がない)」と呼ばれるポリモーフィックエンコーダを使用して、ウイルス対策エンジンによる検出を困難させている。またコマンド&コントロール(C2: Command and Control)サーバ機能を利用するために、正規のクラウドサービスを悪用していることも特定されている。

AT&Tのセキュリティチームは、ソフトウェアを常に最新のセキュリティアップデートに更新することやすべてのエンドポイントにアンチウイルスソフトまたはエンドポイント検出応答(EDR: Endpoint Detection and Response)を導入すること、バックアップシステムによるファイルのバックアップなどの緩和策を実施するよう推奨している。