Unit42の研究者がXbashを発見–LinuxおよびWindowsベースのデータベースを破壊するマルウェア– Appuals.com

セキュリティ / Unit 42の研究者がXbashを発見–LinuxおよびWindowsベースのデータベースを破壊するマルウェア読んだ2分

MySQLデータベースでXbashによって作成された身代金メッセージ

「」と呼ばれる新しいマルウェア Xbash ’はユニット42の研究者によって発見されました。パロアルトネットワークスのブログ投稿が報告しました。このマルウェアは、そのターゲティング能力が独特であり、MicrosoftWindowsサーバーとLinuxサーバーに同時に影響を及ぼします。 Unit 42の研究者は、このマルウェアを、以前はランサムウェア攻撃で知られている脅威アクターグループであるIronGroupに関連付けました。

ブログ投稿によると、Xbashには、コインマイニング、自己伝播、およびランサムウェアの機能があります。また、実装すると、WannaCryやPetya / NotPetyaのように、マルウェアが組織のネットワーク内でかなり迅速に拡散できるようにするいくつかの機能も備えています。

クールなフォールアウト4の壁紙

Xbashの特性

この新しいマルウェアの特徴について、Unit 42の研究者は次のように書いています。「最近、Unit42はPaloAlto Networks WildFireを使用して、Linuxサーバーを標的とする新しいマルウェアファミリーを特定しました。さらに調査した結果、今年、アクティブなサイバー犯罪グループIron（別名Rocke）によって開発されたのはボットネットとランサムウェアの組み合わせであることがわかりました。この新しいマルウェアは、悪意のあるコードの元のメインモジュールの名前に基づいて「Xbash」と名付けました。」

Iron Groupは以前、主にMicrosoftWindowsを標的とすることを目的とした暗号通貨トランザクションハイジャックまたはマイナートロイの木馬の開発と拡散を目的としていました。ただし、Xbashは、保護されていないすべてのサービスの検出、ユーザーのMySQL、PostgreSQL、MongoDBデータベースの削除、ビットコインの身代金を目的としています。 XbashがWindowsシステムに感染するために使用している3つの既知の脆弱性は、Hadoop、Redis、およびActiveMQです。

Xbashは主に、パッチが適用されていない脆弱性と脆弱なパスワードを標的にすることで拡散します。です データ破壊的 、ランサムウェア機能としてLinuxベースのデータベースを破壊することを意味します。 Xbashには、身代金が支払われた後に破壊されたデータを復元する機能もありません。

GafgytやMiraiなどの以前の有名なLinuxボットネットとは異なり、Xbashは、ドメインとIPアドレスをターゲットとするため、ターゲットを公開Webサイトに拡張する次のレベルのLinuxボットネットです。

Xbashは、被害者のサブネット内のIPアドレスのリストを生成し、ポートスキャンを実行します（パロアルトネットワークス）

マルウェアの機能には、他にもいくつかの詳細があります。

ボットネット、コインマイニング、ランサムウェア、および自己伝播機能を備えています。
ランサムウェアとボットネットの機能については、Linuxベースのシステムを対象としています。
これは、Microsoft Windowsベースのシステムを対象として、そのコインマイニングおよび自己伝播機能を備えています。
ランサムウェアコンポーネントは、Linuxベースのデータベースを標的にして削除します。
現在までに、これらのウォレットへの48の着信トランザクションが観察され、総収入は約0.964ビットコインであり、48人の犠牲者が合計約6,000米ドルを支払ったことを意味します（この記事の執筆時点）。
しかし、支払われた身代金が犠牲者の回復につながったという証拠はありません。
実際、身代金の支払いを通じて回復を可能にする機能の証拠は見つかりません。
私たちの分析によると、これは、リモートコントロールシステム（RCS）を使用するキャンペーンを含む他のランサムウェアキャンペーンに公的にリンクされているグループであるIron Groupの作業である可能性が高く、そのソースコードは「」から盗まれたと考えられています。 ハッキングチーム 」2015年。