ESETは5月14日(現地時間)、「Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain」において、Linuxサーバを標的とするマルウェア「Ebury」について分析結果を伝えた。Eburyは過去に実行犯が逮捕されているが、それでも侵害は止まらず開発も継続しており、クレジットカードや暗号資産の窃取を行うように進化したという。

  • Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain

    Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain

Eburyの進化

ESETはマルウェアの新しいサンプルと手法を入手するために、ハニーポットを設置している。しかしながら、Eburyを使用する攻撃者はその一歩先を行っており、ESETのハニーポットを検出して回避する。

  • ハニーポットを検出し、捨てゼリフを残して立ち去る様子 - 引用:ESET

    ハニーポットを検出し、捨てゼリフを残して立ち去る様子 引用:ESET

2021年、オランダの国家ハイテク犯罪ユニット(NHTCU: National Hi-Tech Crime Unit)は、暗号資産の窃取被害にあったサーバからEburyを発見し、ESETに連絡している。ESETはこの捜査に協力することで最近の活動や手法について把握できるようになり、分析可能になったとのことだ。

  • Eburyの侵害経路 - 引用:ESET

    Eburyの侵害経路 - 引用:ESET

ESETによると、Eburyはホスティングプロバイダーも標的にしており、プロバイダーからレンタルしているすべてのサーバにEburyをインストールするという。また、AiTM(Adversary-in-The-Middle)攻撃を使用してSSH(Secure SHell)トラフィックを傍受し、認証情報を窃取する能力も持つとされる。ビットコインやイーサリアムのノードも標的となっており、ユーザーがログインすると自動的に暗号通貨ウォレットがすべて窃取される。

  • 暗号通貨ウォレット窃取の流れ - 引用:ESET

    暗号通貨ウォレット窃取の流れ 引用:ESET

影響と対策

Eburyはこれまでに総計で40万台のサーバを侵害し、2023年末の時点では10万台以上が侵害されているとみられている。

  • 新しく侵害されたサーバーの月ごとの件数(黄色は重大インシデントによる件数) - 引用:ESET

    新しく侵害されたサーバーの月ごとの件数(黄色は重大インシデントによる件数) 引用:ESET

ESETはEburyのより詳しい分析結果を論文として公開している(参考:「(PDF) Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain - Marc-Etienne M.Léveillé - May 2024 (eset):research」)。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を論文内または「malware-ioc/windigo at master · eset/malware-ioc · GitHub」にて公開しており、必要に応じて活用することが望まれている。

さらに、Linuxサーバを運用している管理者向けに侵害を検出するスクリプト「malware-research/ebury at master · eset/malware-research · GitHub」が公開されており、侵害の可能性がある場合はこのツールを使用して確認することが推奨される。