Aqua Securityは8月14日(米国時間)、「Gafgyt Malware Variant Exploits GPU Power and Cloud Native Environments」において、ボットネット型マルウェア「Gafgyt」の新しい亜種を発見したと伝えた。この亜種は脆弱なパスワードを設定したSSHサーバを標的に感染を拡大し、GPUを利用したマイニングを実行するという。

  • Gafgyt Malware Variant Exploits GPU Power and Cloud Native Environments

    Gafgyt Malware Variant Exploits GPU Power and Cloud Native Environments

ボットネット「Gafgyt」の概要

従来の「Gafgyt(別名:BASHLITE、Lizkebab)」はIoTデバイスを標的にするボットネット型マルウェアとされる。Aqua Securityによると2014年ごろから存在が確認され、分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を目的としたボットネットを構築するという。最近では、TP-Linkの無線LANルータに感染したことが確認されている(参考:「TP-Linkの無線LANルータの古い脆弱性を悪用するサイバー攻撃が拡大中、注意を | TECH+(テックプラス)」)。

今回確認された新しい亜種は、脆弱なパスワードを設定しているSSHサーバを標的にする。ブルートフォース攻撃により侵入に成功するとマイニングを開始し、サーバをボットネットに組み込む。次にネットワークスキャンを開始して感染拡大を試みる。

  • 新しい亜種の侵害経路 - 引用:Aqua Security

    新しい亜種の侵害経路 引用:Aqua Security

この亜種には競合する他のマルウェアを検索し、強制終了させる機能がある。また、ブルートフォース攻撃に使用するユーザー名から、Linuxサーバ、ゲームサーバ、クラウドサーバを標的にしていると考えられるマルウェアが発見されており、より高速なコンピュータを標的にしているとみられている。これらから、この亜種はボットネットの構築よりもマイニングを主な目的にしているものと推測されている。

対策

Aqua Securityはインターネット上に公開しているSSHサーバを運用している管理者に対し、パスワード認証を廃止して公開鍵認証のみの運用にすることを推奨している。また、この亜種にはマルウェアをファイルに保存せず実行する機能があることから、高度なリアルタイム検出機能を持つセキュリティソリューションの利用が推奨されている。