Linux SSHサーバを狙う攻撃キャンペーンを発見 DDoS botや仮想通貨マイナーに悪用：セキュリティニュースアラート

ASECはLinuxのSSHサーバに対する攻撃キャンペーンの分析結果を発表した。攻撃者が管理不十分なサーバに侵入してマルウェアをインストールし、DDoS botや仮想通貨マイナーとして悪用するという。

[後藤大地，有限会社オングス]

　AhnLab Security Emergency Response Center（ASEC）は2023年12月26日（現地時間）、「Linux」のSSHサーバに対する攻撃キャンペーンを分析した結果を公表した。脅威アクターは最近、管理が不十分なLinuxのSSHサーバに侵入してマルウェアをインストールし、DDoS botや仮想通過マイナーとして悪用しているとして注意を呼びかけている。

ASECはLinuxのSSHサーバに対する攻撃キャンペーンを分析した結果を公表した（出典：ASECのWebサイト）

ASECが分析するLinux SSHサーバへのサイバー攻撃動向

　ASECは攻撃キャンペーンの手口や使われているツールを紹介し、推奨される対策を提示した。

　ASECによると、サイバー攻撃者は初めにIPスキャンを実行し、SSHサービスまたは22番ポートがアクティブになっているサーバを特定し、そのあとで総当り攻撃（ブルートフォース攻撃：Brute-force attack）や辞書攻撃を仕掛けてログイン用のアカウント情報を特定する。

　サイバー攻撃者は、サーバ侵入後にDDoS botや仮想通過マイナーを構築する。これらの攻撃は、より多くのサーバに侵入してbotやマイナーの規模を拡大することで大きな成果を得られる。そのため攻撃者は感染したシステムにスキャナーなどの攻撃用ツールをインストールして他のサーバへの侵入も模索しているという。

　侵害されたLinuxのSSHサーバにインストールされる主なマルウェアとしては以下が挙げられている。

• Shellbot（63.5％）
• Tsunami（13.9％）
• Mirai（5.9％）
• XMRig（3.6％）
• Gafgyt（3.0％）
• XorDDoS（1.2％）
• DDoS bot（0.3％）

　ASECはサイバー攻撃被害に遭わないために、最新のアップデートを適用することや推測されにくい強いパスワードを使うこと、定期的にパスワードを変更すること、ファイアウォールを使ってアクセスを制限すること、などを推奨している。