攻撃に使われているマルウェア「Linux/Cdorked.A」は高度なバックドア機能を持ち、既に何百ものWebサーバに感染している模様だという。
Apacheを使ったWebサーバを改ざんして、リクエストを脆弱性悪用ツールキットの「Blackhole」にリダイレクトする攻撃が拡大しているという。この攻撃は、セキュリティ企業のSucuriが4月26日のブログで報告した。29日現在も、被害に遭ったサーバの数は増え続けているという。
Sucuriによると、この手の攻撃ではこれまで、悪質なApacheモジュール「Darkleech」を使ってWebサイトにマルウェアを挿入する手口が横行していた。しかし今回見つかった攻撃は、cPanelベースのサーバ上でApacheバイナリ(httpd)を悪質なバイナリに置き換える新しい手口が使われているという。
この攻撃に使われたマルウェア「Linux/Cdorked.A」を調べているセキュリティ企業のESETは、同マルウェアが高度なバックドア機能を持ち、トラフィックを悪質なWebサイトに送り込んでいることが分かったと説明している。
ESETによれば、Cdorked.Aは既に何百ものWebサーバに感染している模様だが、感染した場合でも、httpdバイナリを改ざんする以外はHDD上に何の痕跡も残さないことから、分析が難しいという。
バックドアに関する情報はすべて共有メモリに保存され、攻撃者は通常のApacheログには記録されない難読化したHTTPリクエストを使って、プッシュ式で設定を送り込んでいるという。
ESETはシステム管理者に対し、自分のサーバをチェックして、このマルウェアに感染していないかどうか確認するよう呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.