ナビゲーションをスキップする
BlackBerry ブログ

BlackBerryとIntezer Labsが、ほぼ検出不可能なLinuxの新たな脅威「Symbiote」を発見

原文のブログはこちらからご覧頂けます。

脅威フラッシュ:新たな Linux の脅威 Symbiote が確認される

ポップカルチャー作品に登場する共生者は、よく宿主に超人的な能力を与えます(ときには面白い脳内会話を繰り広げることも)。しかし、現実の世界では、寄生性の共生者は、気付かれることなく宿主を死の淵に追いやることがあります。Intezer と BlackBerry の Research and Intelligence Team による新たな共同研究において、BlackBerry は未発見のマルウェアを確認しました。このマルウェアは、Linux® オペレーティングシステムに影響を及ぼす共生者として動作し、実行中のプロセスに身を潜めて自身のネットワークトラフィックを隠ぺいし、攻撃者が被害者のリソースを窃取できるようにします。

ブログ記事「Symbiote: a New, Nearly-Impossible-to-Detect Linux Threat (Symbiote :ほとんど検知が不可能な新しい Linux への脅威)」では、この脅威を詳しく説明していますので、こちらのレポートをぜひお読みください。

Symbiote の詳細については、以下の解説動画をご覧ください。
 


デジタル世界での共生

「Symbiote (共生者)」と命名されたこのマルウェアの主な目的は、認証情報を収集すること、および被害者のマシンへのバックドアアクセスを容易にすることです。Symbiote は、ルートキット機能など、自身を隠ぺいするさまざまな手法を備えているため、感染の検知を困難にしています。それだけでなく、そうした手法の中には、従来よりもさらに優れた機能もあります。

Symbiote を他の Linux マルウェアと一線を画させているのは、独立した実行可能ファイルを使用して損害を与えるのではなく、実行中のプロセスに感染する能力を備えていることです。被害者のマシンに完全に侵入すると、ルートキットを有効にして、侵入した痕跡のさらなる隠ぺいを図ります。
 

ネットワークトラフィックの隠ぺい

この脅威はファイルシステム上で身を潜めるだけでなく、Berkeley Packet Filter (BPF) フッキング機能を使用して、自身のネットワークトラフィックの隠ぺいも行います。

その動作の仕組みを説明します。管理者が感染したマシン上でパケットキャプチャツールを起動すると、捕捉対象のパケットを定義する BPF のバイトコードがカーネルに注入されます。このプロセスでは、Symbiote は自身のバイトコードを最初に追加するため、パケットキャプチャツールに捕捉されたくないネットワークトラフィックを除去することができます。
 

巨額の報酬を求めて

こうした堅牢な機能セットに見合うのはどのような標的なのか疑問に思われるかもしれません。Symbiote の最初のサンプルが 2022 年初めに発見されたとき、攻撃者はラテンアメリカの金融業界を標的にしているように見えました。このマルウェアに使用されたドメイン名から、脅威アクターがブラジルの銀行になりすましていたことがわかり、ブラジルの銀行やその顧客が潜在的な標的であったことがうかがわれます。

このマルウェアは、脅威アクターが被害者のマシンにリモートアクセスできるようにするだけでなく、認証情報の自動収集を可能にします。

Symbiote は、最近確認された最も高度化した Linux の脅威の 1 つですが、現在の脅威環境で観察された傾向から、これで終わりではないことがわかります。攻撃者がクラウドサーバーやワークロードへの関心を高めるにつれ、Linux の脅威が増加することが予測されるからです。グローバルな BlackBerry の Threat Research & Intelligence Team は、Intezer をはじめとしたパートナーと連携して、Symbiote などの脅威の特定、解析、報告を継続して行うだけでなく、脅威の影響を軽減するのに必要な対策の構築に貢献していきます。

レポート全文はこちらでご覧いただけます。

 

・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview

・BlackBerry Japan:https://www.blackberry.com/ja/jp

・FaceBook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/

・Twitter(日本語): https://twitter.com/BlackBerryJPsec

・ LinkedIn: https://www.linkedin.com/company/blackberry/

・Youtube(日本語)https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos

About Intezer Labs 

Intezer Labs
ノイズ、誤検知、アラートの対処でセキュリティチームが圧倒されないようにします。Intezer は、アラートのトリアージ、インシデント対応、脅威ハンティングのプロセスを自動化することで、セキュリティチームがスキルギャップを埋め、迅速に行動できるよう支援します。経験豊富な脅威アナリストやリバースエンジニアの知識や意思決定プロセスをシミュレートするテクノロジーでチームを強化します。Intezer の強力なプラットフォームを利用することで、新任アナリストも経験豊富なアナリストも素早くマルウェアファミリを特定し、検知やハンティングのためのアーティファクトを抽出できます。詳細については、@intezerlabs でフォローするか、www.intezer.com をご覧ください。

 
Ismael Valenzuela

About Ismael Valenzuela

Ismael Valenzuelaは、BlackBerry の Threat Research & Intelligence 担当バイスプレジデントとして、脅威の研究、インテリジェンス、および防御のイノベーションを指揮しています。Ismael は、セキュリティ専門家として、20 年以上にわたり世界中の数多くのプロジェクトに参画しており、スペイン初の IT セキュリティコンサルタント会社の 1 つの設立にも関わっています。

また、ペネトレーションテスト、セキュリティアーキテクチャ、侵入検知、およびコンピューターフォレンジックに関する強力な技術背景と深い知識を備えた、第一線で活躍するサイバーセキュリティ専門家として、主要な EU の諸機関や米国の政府機関など、大規模な政府機関や民間組織に対して、セキュリティコンサルタント、アドバイス、およびガイダンスを提供しています。

さらに、GREM、GCFA、GCIA、GCIH、GPEN、GCUX、GCWN、GWAPT、GSNA、GMON、CISSP、ITIL、CISM、IRCA 27001 Lead Auditor from Bureau Veritas UK に加えて、高く評価されている GIAC Security Expert (GSE #132)などの専門的な資格を数多く保有しています。