Kaspersky、Linuxを標的としたバックドアの3年間にわたる拡散を発見

この記事は約7分で読めます。

[本リリースは、2023年9月12日にKasperskyが発表したプレスリリースに基づき作成したものです]

 –【概要】—
Kasperskyのリサーチャーはこのたび、人気の無料ソフトウェア「Free Download Manager」のインストーラーを悪用し、少なくとも3年にわたりLinux用のバックドアが拡散されていたことを発見しました。マルウェアの感染は、Free Download Managerの公式サイトからLinux用ソフトウェアをダウンロードした際に起こっていたことが調査によって判明しており、サプライチェーン攻撃の可能性があるとみています(現在は対応済み)。調査の結果、ブラジル、中国、サウジアラビア、ロシアなど、さまざまな国で感染の試みを確認しています。分析したバックドアの亜種は、当社のLinux向け製品では2013年から検知、ブロックしていますが、Linuxはマルウェアに感染しないという誤解が根強く、多くのLinuxシステムで十分なサイバーセキュリティ保護が適用されないままになっています。なお、Free Download Managerチームは当件について公式声明を発表し※1(9月13日、現地時間)、2020年から2022年の間にLinux用ソフトウェアをダウンロードしたユーザーに対し、マルウェア感染していないかを確認するためにシステムをスキャンすること、およびパスワードの変更を推奨しています。
————–

今回、当社のリサーチャーが特定したのは、Linuxシステムを標的としたバックドアの拡散です。その手口は、人気の無料ソフトウェアFree Download Manager公式サイトを侵害し、トロイの木馬の一種であるバックドアを標的デバイスに感染させるというものです。デバイスを感染させた後は、Linuxシステムの詳細情報、閲覧履歴、保存済みパスワード、暗号通貨ウォレットファイル、さらにはクラウドサービス(Amazon Web Services、Google Cloudなど)の認証情報などを窃取します。当社のテレメトリによると、この攻撃はブラジル、中国、サウジアラビア、ロシアほか、世界各地で発生しています。当社のリサーチャーは、この攻撃活動はサプライチェーン攻撃である可能性が高いとみています。

リサーチャーは調査を進める中で、YouTubeで公開されているLinux用のFree Download Managerのインストールガイドで、動画の制作者が意図せずマルウェアを含んだパッケージのダウンロードを録画していることに気が付きました。動画では、公式サイトでLinux用パッケージダウンロードボタンをクリック後、悪意のあるサイトへリダイレクトされ、悪意のあるバージョンがダウンロードされていました。一方で、同時期の別の動画では、正規のバージョンがダウンロードされていたことから、悪意のあるリダイレクトのスクリプトは、一定の確率または特定の条件に応じて出現するようになっていたと考えられます。結果として、正規のパッケージを問題無くインストールできる場合もありました。

当社の調査では、マルウェアを含むパッケージは2020年にリリースされたLinux用のFree Download Managerで、この感染の試みは少なくとも2020年から2022年の3年間にわたって続いていたことが判明しています。さかのぼってオープンソースチェックを行った結果、この期間にはナレッジコミュニティのStackOverflowやRedditなどのWebサイトでも感染したFree Download Managerの配布が原因で発生した問題に関する投稿が行われていましたが、悪意のある攻撃活動に起因するものであることには誰も気付いていませんでした。

図:Free Download Managerインストール時の疑問について質問するユーザー(RedditのWebサイト)。後にマルウェアが含まれていたことが判明。

Kaspersky グローバル調査分析チーム※2のセキュリティエキスパート、ゲオルギー・クチェリン(Georgy Kucherin)は、次のように述べています。「今回分析したバックドアの亜種は、2013年に発見して以降、当社ソリューションで検知可能になっています。ところが、Linuxはマルウェアに感染しないという誤解が根強く、多くのLinuxシステムで十分なサイバーセキュリティ保護が適用されないままになっています。保護が十分ではないため、Linuxシステムはサイバー犯罪者にとって格好の標的となっています。Free Download Managerの事例からは、Linuxシステムで進行しているサイバー攻撃を人の目で見つけることの難しさが浮き彫りになりました。Windowsと同様に、Linuxベースのシステムでは、信頼の置ける効果的なセキュリティ対策を実装することが重要です」

■ 当攻撃活動についての詳細は、Securelistブログ(英語)「Free Download Manager backdoored – a possible supply chain attack on Linux machines」でご覧いただけます。
https://securelist.com/backdoored-free-download-manager-linux-malware/110465/

■ Linuxを狙う攻撃活動からご自身と企業を守るために、以下の対策をお勧めします。
・既知および未知の脅威を効果的に防ぐために、ふるまいに基づく検知とアダプティブアノマリーコントロール機能を備えた、定評のあるエンドポイントセキュリティソリューション(Kaspersky Endpoint Security for Businessなど)を採用する

https://www.kaspersky.co.jp/small-to-medium-business-security/endpoint-advanced
・Kaspersky Embedded Systems Security for Linuxを使用する。リソース制限のある環境下での利用に最適化しており、アンチマルウェア機能と管理機能により多層防御を実現します

https://www.kaspersky.co.jp/enterprise-security/embedded-systems
・窃取された認証情報はダークウェブで販売される可能性があるため、Kaspersky Digital Footprint Intelligenceを使用してシャドーリソースを監視し、関連する脅威を速やかに見つけ出す
https://www.kaspersky.co.jp/enterprise-security/threat-intelligence

※1 Free Download Manager公式声明はこちら

https://www.freedownloadmanager.org/blog/?p=664 
※2 グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。

タイトルとURLをコピーしました