ESETは5月14日(現地時間)、「Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain」において、Linuxサーバを標的とするマルウェア「Ebury」について分析結果を伝えた。Eburyは過去に実行犯が逮捕されているが、それでも侵害は止まらず開発も継続しており、クレジットカードや暗号資産の窃取を行うように進化したという。
Eburyの進化
ESETはマルウェアの新しいサンプルと手法を入手するために、ハニーポットを設置している。しかしながら、Eburyを使用する攻撃者はその一歩先を行っており、ESETのハニーポットを検出して回避する。
2021年、オランダの国家ハイテク犯罪ユニット(NHTCU: National Hi-Tech Crime Unit)は、暗号資産の窃取被害にあったサーバからEburyを発見し、ESETに連絡している。ESETはこの捜査に協力することで最近の活動や手法について把握できるようになり、分析可能になったとのことだ。
ESETによると、Eburyはホスティングプロバイダーも標的にしており、プロバイダーからレンタルしているすべてのサーバにEburyをインストールするという。また、AiTM(Adversary-in-The-Middle)攻撃を使用してSSH(Secure SHell)トラフィックを傍受し、認証情報を窃取する能力も持つとされる。ビットコインやイーサリアムのノードも標的となっており、ユーザーがログインすると自動的に暗号通貨ウォレットがすべて窃取される。
影響と対策
Eburyはこれまでに総計で40万台のサーバを侵害し、2023年末の時点では10万台以上が侵害されているとみられている。
ESETはEburyのより詳しい分析結果を論文として公開している(参考:「(PDF) Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain - Marc-Etienne M.Léveillé - May 2024 (eset):research」)。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を論文内または「malware-ioc/windigo at master · eset/malware-ioc · GitHub」にて公開しており、必要に応じて活用することが望まれている。
さらに、Linuxサーバを運用している管理者向けに侵害を検出するスクリプト「malware-research/ebury at master · eset/malware-research · GitHub」が公開されており、侵害の可能性がある場合はこのツールを使用して確認することが推奨される。