BlackBerryとIntezer Labsが、ほぼ検出不可能なLinuxの新たな脅威「Symbiote」を発見

デジタル世界での共生

「Symbiote （共生者）」と命名されたこのマルウェアの主な目的は、認証情報を収集すること、および被害者のマシンへのバックドアアクセスを容易にすることです。Symbiote は、ルートキット機能など、自身を隠ぺいするさまざまな手法を備えているため、感染の検知を困難にしています。それだけでなく、そうした手法の中には、従来よりもさらに優れた機能もあります。

Symbiote を他の Linux マルウェアと一線を画させているのは、独立した実行可能ファイルを使用して損害を与えるのではなく、実行中のプロセスに感染する能力を備えていることです。被害者のマシンに完全に侵入すると、ルートキットを有効にして、侵入した痕跡のさらなる隠ぺいを図ります。
 

ネットワークトラフィックの隠ぺい

この脅威はファイルシステム上で身を潜めるだけでなく、Berkeley Packet Filter （BPF） フッキング機能を使用して、自身のネットワークトラフィックの隠ぺいも行います。

その動作の仕組みを説明します。管理者が感染したマシン上でパケットキャプチャツールを起動すると、捕捉対象のパケットを定義する BPF のバイトコードがカーネルに注入されます。このプロセスでは、Symbiote は自身のバイトコードを最初に追加するため、パケットキャプチャツールに捕捉されたくないネットワークトラフィックを除去することができます。
 

巨額の報酬を求めて

こうした堅牢な機能セットに見合うのはどのような標的なのか疑問に思われるかもしれません。Symbiote の最初のサンプルが 2022 年初めに発見されたとき、攻撃者はラテンアメリカの金融業界を標的にしているように見えました。このマルウェアに使用されたドメイン名から、脅威アクターがブラジルの銀行になりすましていたことがわかり、ブラジルの銀行やその顧客が潜在的な標的であったことがうかがわれます。

このマルウェアは、脅威アクターが被害者のマシンにリモートアクセスできるようにするだけでなく、認証情報の自動収集を可能にします。

Symbiote は、最近確認された最も高度化した Linux の脅威の 1 つですが、現在の脅威環境で観察された傾向から、これで終わりではないことがわかります。攻撃者がクラウドサーバーやワークロードへの関心を高めるにつれ、Linux の脅威が増加することが予測されるからです。グローバルな BlackBerry の Threat Research & Intelligence Team は、Intezer をはじめとしたパートナーと連携して、Symbiote などの脅威の特定、解析、報告を継続して行うだけでなく、脅威の影響を軽減するのに必要な対策の構築に貢献していきます。

レポート全文はこちらでご覧いただけます。

・お問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報：https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview

・BlackBerry Japan：https://www.blackberry.com/ja/jp

・FaceBook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/

・Twitter（日本語）: https://twitter.com/BlackBerryJPsec

・ LinkedIn: https://www.linkedin.com/company/blackberry/

・Youtube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos