AhnLabは6月20日、「Tsunami DDoS Malware Distributed to Linux SSH Servers - ASEC BLOG」において、脆弱なLinux SSHサーバを標的としたキャンペーンが展開されているとして、注意を呼び掛けた。Tsunami DDoSボットによるサイバー攻撃とされ、ShellBot、XMRig CoinMiner、Log Cleanerなどさまざまなマルウェアに感染させることが確認されている。
Tsunamiは、Kaitenとしても知られている分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)型ボットで、一般的に脆弱性の高いIoT機器を狙う際にMiraiやGafgytといったボットとともに配布されてきた経緯を持つマルウェアとされている。IRCボットとして動作するため、IRCを通じて脅威者と通信するという点で他のボットと一線を画している。
このボットに感染させるため、脅威者が管理の不十分なLinux SSHサーバに対してブルートフォース攻撃を行っていることがわかった。ポートスキャンによって外部に公開されたLinux SSHサーバが検索され、既知のアカウント認証情報を使用した総当り攻撃が実行されている。システムへのログインに成功すると特定のコマンドが実行され、Tsunami DDoSを含むさまざまなマルウェアの取得、およびそれらマルウェアが実行されてしまう。
適切な管理が欠けているLinux SSHサーバを狙ったキャンペーンは、継続して発生している。Linux管理者はブルートフォースなどの辞書攻撃からLinuxサーバを保護するために、推測されにくいパスワードを使用することや定期的にパスワードを変更することが求められている。最新パッチを適用するだけでなく、ファイアウォールなどのセキュリティプログラムを使用し、攻撃者のアクセスを制限することが推奨されている。