研究者は、実行フローを乗っ取る新しいOrBitLinuxマルウェアについて警告します from thehackernews.com
security summary
サイバーセキュリティ会社のIntezerによると、マルウェアの名前は、実行されたコマンドの出力( 」/tmp/.orbit」)を一時的に保存するために使用されるファイル名の1つから取得されます。
「マルウェアは高度な回避技術を実装し、主要な機能をフックすることでマシン上で永続性を獲得し、SSHを介したリモートアクセス機能を攻撃者に提供し、資格情報を収集し、TTYコマンドをログに記録します。」
このマルウェアは、侵入先のマシンで実行中のすべてのプロセスに感染するように設計されているという点で、Symbioteとよく似ています。
さらに、OrBitは、その存在を警告せずに機能し、感染したマシンからの削除を困難にする方法で永続性を確立できるようにする一連のメソッドに依存しています。
「このマルウェアを特に興味深いものにしているのは、被害者のマシンにライブラリがほぼ気密にフックされていることです。これにより、マルウェアは情報を盗み、SSHバックドアを設定しながら、永続性を獲得し、検出を回避できます」とFishbein氏は述べています。
「Linuxを標的とする脅威は、セキュリティツールの監視下にありながら進化を続けています。現在、OrBitは、回避可能で永続的な新しいマルウェアの可能性を示すもう1つの例です。」
コメント