Sysdigは12月5日(米国時間)、「Discovered new BYOF technique to cryptomining with PRoot – Sysdig」において、「PRoot」呼ばれるオープンソースのツールを悪用し、複数のLinuxディストリビューションを標的に攻撃を簡略化しているサイバー攻撃者を発見したと伝えた。

PRootはUbuntu、Fedora、AlpineなどのさまざまなLinuxディストリビューションに運用環境を提供するツールとされており、他のアーキテクチャ上に構築されたマルウェアを実行できるエミュレーションも提供されている。

  • Discovered new BYOF technique to cryptomining with PRoot – Sysdig

    Discovered new BYOF technique to cryptomining with PRoot – Sysdig

Bring Your Own Filesystem(BYOF)と呼ばれる新しいポストエクスプロイト技術を採用しているこの技術は、Sysdigに観察された攻撃者によって活発に悪用されている。このツールは、攻撃者が把握でいていない環境やリソースが不足している新しい環境などに有効だという。

PRoot自体は他のオープンソースツールと同様、悪意を持って開発されたものではないと説明されている。互換性を向上させ、管理者の負荷を軽減するために作られたツールとされており、任意のディレクトリを新しいルートファイルシステムとして使用する機能やファイルシステム階層の他の場所からファイルにアクセスする機能、別のCPUアーキテクチャ用に作られたプログラムをQEMUユーザモードを通じて実行する機能などが提供されている。

Sysdigによって観測されたこの攻撃は、悪意のあるファイルシステムを構築することから始まるという。悪意のあるファイルシステムには、操作を成功させるために必要なものがすべて含まれており、初期段階での準備によりすべてのツールのダウンロード、設定、インストールを攻撃者のシステム上で行えるようになるとされている。

攻撃者はターゲットのシステムにアクセスすると、悪意のあるファイルシステムのパッケージをPRootとともにダウンロードし、ダウンロードされた時点で脅威者は必要なものをすべて手に入れたことになると説明されている。

PRootを用いることで実行ファイルの互換性、環境の設定、マルウェアやクリプトマイニングの実行に関連する攻撃がスムーズになり、ターゲットのアーキテクチャやディストリビューションに対する配慮や懸念がほとんどなくなるとされている。これにより、攻撃者は「一度書いたら、どこでも実行できる」という、アプリ開発の哲学に近づくことができると報告されている。