Source: https://www.bleepingcomputer.com/news/security/new-koske-linux-malware-hides-in-cute-panda-images/
🛡 概要
最近、Koskeという新しいLinuxマルウェアが発見されました。このマルウェアは、可愛いパンダのJPEG画像を利用して、システムメモリに直接マルウェアを展開します。サイバーセキュリティ企業AquaSecの研究者によると、Koskeは「洗練されたLinuxの脅威」とされています。マルウェアの適応的な振る舞いから、研究者たちはこのマルウェアが大規模言語モデル(LLM)や自動化フレームワークを用いて開発された可能性があると考えています。Koskeの主な目的は、ホストの計算リソースを利用して18種類以上の暗号通貨を採掘するCPUおよびGPU最適化されたマイナーを展開することです。
🔍 技術詳細
AquaSecは、攻撃に使用されるIPアドレスがセルビアにあること、スクリプトにセルビア語のフレーズが含まれていること、GitHubリポジトリにスロバキア語が使用されていることを特定しましたが、確実な帰属はできませんでした。Koskeの初期アクセスは、オンラインに公開されたJupyterLabインスタンスの設定ミスを利用してコマンド実行を達成します。攻撃者は、OVH imagesやfreeimage、postimageなどの合法的なサービスにホストされたパンダのJPEG画像を2枚ダウンロードします。しかし、これらの画像には悪意のあるペイロードが隠されています。AquaSecは、攻撃者が画像内にマルウェアを隠すためにステガノグラフィーを使用せず、複数の形式で有効なポリグロットファイルに依存していることを強調しています。Koskeの攻撃では、同じファイルが画像としてもスクリプトとしても解釈されることができます。これにより、ユーザーは可愛いパンダを見ますが、スクリプトインタプリタはファイルの末尾に追加されたシェルコードを実行します。
⚠ 影響
AquaSecによると、Koske攻撃では、各画像に1つのペイロードが隠されており、両方が並行して起動します。1つのペイロードは、メモリに直接書き込まれ、コンパイルされて共有オブジェクト.soファイルとして実行されるCコードで、ルートキットとして機能します。もう1つは、メモリから直接実行されるシェルスクリプトです。このスクリプトは、標準的なシステムユーティリティを使用してステルスに実行され、可視的な痕跡をほとんど残さずに持続性を維持します。シェルスクリプトは、cronジョブを使用して30分ごとに実行され、カスタムsystemdサービスを介して持続性を確保します。ネットワークの強化やプロキシ回避も行い、/etc/resolv.confをCloudflareやGoogle DNSを使用するように上書きし、chattr +iコマンドでロックします。
🛠 対策
KoskeのようなAIを活用したマルウェアは、既に懸念されていますが、将来のバリアントはリアルタイムの適応性を活用し、より危険な脅威のクラスに進化する可能性があります。企業や個人は、JupyterLabインスタンスの設定を適切に行い、公開されているサービスを監視し、セキュリティパッチを適用することが重要です。さらに、不審なファイルや画像を開かないことや、信頼できるセキュリティソフトウェアを使用することも重要です。これにより、Koskeのような新たな脅威からシステムを保護することができます。
