Koskeはマイニングを目的としたマルウェアです。
どんな動きをするマルウェアなのでしょうか。
- 初期アクセス:設定ミスの悪用
侵害環境への侵入は、侵入先の設定ミスを悪用することで開始されます。
今回確認されている例で悪用されたのは、JupyterLabの設定ミスでした。
脅威アクターはこの環境でリモートコード実行を実施し、攻撃環境を構築します。 - 攻撃環境構築
いくつもの仕掛けで足場を作成します。
現地のLinux機のシェル構成をハイジャックしC2との通信を維持できるようにします。
起動時に特権でサービスとして攻撃機構が動作するように仕掛けます。
定期実行する仕組みであるcronのタスクを設定し、定期実行環境を整備します。 - ペイロードの展開
今回の例ではペイロードは2種利用されます。
これらはどちらも正規の無料画像ストレージプラットフォームから入手される画像ファイルです。
画像ファイルなのですが、通常の画像ファイルではなく、Polyglotファイルになっています。
以前よく話題になったsteganographyというものがありましたが、それとは異なり、悪意のあるファイルの埋め込みが実施された画像ファイルとして作成されています。
この手法では、有効なJPGファイルの末尾に悪意のあるシェルコードが隠されています。
このファイルは画像表示できるアプリケーションで利用すると画像ファイルとして機能しますが、末尾には別のデータがついている状態になっています。 - ペイロード:ルートキット
展開されるペイロードの片方は、ルートキットです。
メモリに直接書き込まれ、コンパイルされ、共有オブジェクト .so ファイルとして現地で設置されます。
特定の名前やPIDに基づいてエントリをフィルタリングすることで、ファイル、ディレクトリ、プロセスをユーザー空間監視ツールから隠蔽するように設計されています。 - ペイロード:永続化機構
もう一つのペイロードは永続性の実現に利用される機構になっています。
メモリから実行されるシェルスクリプトの形状になっていて、標準のシステムユーティリティを使用してステルス的に実行され、目に見える痕跡をほとんど残さずに永続性を維持します。 - 仕事の開始
次は仕事環境の確認を実施します。
現地で利用できるCPUやGPUの種類を検出します。
これによってKoskeがカバーしている18種類のマイナーの中のどれを実行するのが効率的かを決定します。
Monero, Ravencoin, Zano, Nexa, Tariなどが候補です。
準備は整いました。
あとはひたすらマイニングを実行します。
このKoskeは、どうやら大規模言語モデル(LLM)を使って作成されたもののようです。
この手のものは今後も次々に登場してしまうように思えます。
付け入るスキを与えないようにしていきたいですね。
AI-Generated Malware in Panda Image Hides Persistent Linux Threat
https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/
| この記事をシェア |
|
|---|
