AhnLabは12月26日、「Analysis of Attacks That Install Scanners on Linux SSH Servers - ASEC BLOG」において、管理の不十分なLinux SSHサーバに対するサイバー攻撃に関する分析結果を伝えた。
Linux SSHサーバに対するサイバー攻撃の概要
脅威アクターはDDoSボットやCoinMinerなどの暗号資産マイニングマルウェアの感染拡大のために、Linux SSHサーバを標的とすることがある。このとき、脅威アクターはSSHサービスを実行しているサーバのIPアドレスと認証情報を必要とする。IPアドレスはポート22(SSHのデフォルトポート)が開いているサーバをポートスキャナで探索する。認証情報はブルートフォース攻撃または辞書攻撃により突破を試みる。
脅威アクターは経済的利益を得るためにこれら攻撃を実行してLinux SSHサーバを侵害する。脅威アクターは侵入後にDDoSボット、CoinMinerなどのインストールを行うが、ほかにも資格情報を収集したり感染を広げたりするために、さまざまなマルウェアをインストールする。AhnLabは最近のLinux SSHサーバに対する攻撃において、ShellBot、Tsunami、ChinaZ DDoS Bot、XMRig CoinMinerなどのマルウェアのインストールを確認している。
脅威アクターはLinux SSHサーバを侵害する過程で、いくつかのツールを展開することが確認されている。ポートスキャナやブルートフォースツールが感染を広げるために使用されている。新しい感染先を見つけると、同じツールを感染先に展開して感染を拡大していく。
これらツールは「PRG @ oldTeam」によって作成されたとみられており、同様のツールの使用が2021年に掲載されたJPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)のブログ記事「Attacks Embedding XMRig on Compromised Servers - JPCERT/CC Eyes | JPCERT Coordination Center official Blog」からも確認できる。
Linux SSHサーバを狙う攻撃への対策
AhnLabは管理の不十分なLinux SSHサーバが継続して狙われているとして注意を促している。このような攻撃を回避するためにLinux SSHサーバの管理者には、SSHログイン可能なすべてのアカウントに推測困難な強力なパスワードを使用することを推奨している。
また、ファイアウォールを使用してアクセスできるクライアントを制限することも推奨している。AhnLabは最近の調査で確認したこれら攻撃のセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。