記事本文(要約)
新たに発見されたGo言語ベースのLinuxボットネットマルウェア「PumaBot」は、組み込みIoTデバイスのSSH認証情報をブルートフォース攻撃で突破し、悪意のあるペイロードを展開します。PumaBotは、インターネット全体をスキャンするのではなく、コマンド・アンド・コントロール(C2)サーバー(ssh.ddos-cc.org)から取得した特定のIPアドレスを標的にします。特に監視カメラや交通カメラシステムを狙っている可能性があります。
攻撃は、C2サーバーから取得したIPリストに対してポート22でのブルートフォースを行い、成功するとシステム情報を収集し、持続性を得るためにバイナリを「/lib/redis」に書き込んだり、SSHアクセスを維持するために公開鍵を挿入します。また、データの窃取や新たなペイロードの導入が可能です。
暗証情報はテキストファイルに記録され、後に削除されます。現在、このマルウェアの規模やターゲットIPの範囲は不明です。企業ネットワークの深い侵入を目的としており、単なるDDoS攻撃よりも深刻です。対策として、IoTデバイスのファームウェアを最新に更新し、デフォルトの認証情報を変更し、ファイアウォールで保護し、重要なシステムから隔離されたネットワークに配置することが推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 28 May 2025 15:59:38 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-pumabot-botnet-brute-forces-ssh-credentials-to-breach-devices/
詳細な技術情報
PumaBotは比較的新しいLinuxマルウェアで、その特徴は主としてIoTデバイスをターゲットにしてSSHクレデンシャルを総当たり攻撃で侵害し、悪意のあるペイロードを展開するという点にあります。以下に、セキュリティ観点からこの脅威を分析し、詳細情報を提供します。
CVE番号
現段階では、CVE番号は具体的に割り当てられていないようです。ただし、SSHの総当たり攻撃やPAMモジュールの侵害手法に関連する既知の脆弱性が利用されている可能性が高いです。
脆弱性の仕組み
- SSH総当たり攻撃: PumaBotは特定のIPリストに対し、SSHのポート22を狙った総当たり攻撃を行います。この手法により、デフォルトのまたは弱い認証情報を有するデバイスが侵害されます。
- 持続性の確保: 感染が確立されると、malwareは自身のバイナリをデバイスに書き込み、systemdサービスを作成してデバイスの再起動後も感染が持続するようにします。
- SSH認証情報の保持: authorized_keysファイルを改ざんすることで、不正なsshアクセスを持続的に維持します。
- PAMモジュールの改ざん: 正規のPAMモジュールを置き換えることで、ローカルおよびリモートのSSHログイン情報を収集します。
攻撃手法
- ターゲット特定: C2サーバーから指定されたIPアドレスに対し、総当たり攻撃を開始。
- 認証情報の獲得: 成功した場合、ターゲットデバイス上で環境情報を確認し、ハニーポットでないことを確認。
- 持続的な感染の確立: バイナリとsystemdサービスを設置し、感染の持続性を確保。
- 認証情報の収集と転送: PAMモジュールとbinary “watcher”を利用してSSHログイン情報を収集し、C2に転送。
潜在的な影響
- データ流出: SSHクレデンシャルを使用して、より多くのデバイスやネットワークへのアクセスを得る可能性。
- 機密情報の漏洩: IoTデバイスやサーベイランスシステムがターゲットにされているため、機密情報が流出するリスクがある。
- ネットワーク浸透: 組織ネットワーク内部への深部侵入を助長。
推奨される対策
- ファームウェアアップデート: 使用しているIoTデバイスのファームウェアを最新バージョンに更新する。
- デフォルトクレデンシャルの変更: 初期設定の認証情報を強固なものに変更。
- ファイアウォールの導入: ファイアウォールによりSSHアクセスを制限。
- ネットワークの分離: IoTデバイスを重要なシステムとは別のネットワークに配置し、万が一の侵害を最小限に。
- 侵害指標(IoC)の監視: Darktraceなどが提供する検出ルールを用いて、PumaBotの迹を監視。
