NCSCは「Pygmy Goat」と呼ばれるマルウェアの詳細を発表した。Sophos XG Firewallを通じたバックドアアクセスの提供や複数OSでの動作、C2通信の隠密性などの特徴を持つ高性能なマルウェアとされているため注意が必要だ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
英国立サイバーセキュリティセンター(NCSC)は2024年10月22日(現地時間)、「Pygmy Goat」と呼ばれるマルウェアの詳細情報を公開した。このマルウェアは特定の業界や個人を狙うサイバー攻撃において、情報窃取やシステム操作の手段として利用されている。
Pygmy Goatは「Sophos XG Firewall」で発見されたマルウェアであり、ターゲットデバイスに不正アクセスを可能にするバックドアを仕掛ける。このマルウェアは「LD_PRELOAD」環境変数を使用してsshd(SSHデーモン)プロセスに自身をロードし、「accept」関数をフックすることでリモートシェルの取得やパケットキャプチャー、cronタスク作成、リバースSOCKSプロキシサーバの設定など、多様な操作を実行する。
さらにコマンド&コントロール(C2)サーバとの通信において暗号化プロトコルを使用し、ネットワーク監視システムにおける通信内容把握を難しいものにしている。加えて、Pygmy Goatは通信において複数のプロトコルやポートを活用し、通常のネットワーク活動を偽装して検出を困難なものにしている。この手法によってサイバー攻撃者は長期間にわたり感染端末との通信を維持しやすくなり、標的となる組織への侵入や情報漏えいのリスクを増大させている。
同マルウェアは複数のプラットフォームに対応することで攻撃範囲を広げ、ターゲットとなる組織や個人の環境に依存せずに感染を広げるという特徴がある。「Windows」「macOS」「Linux」といった主要なOSで動作する他、各プラットフォームに特化したバリエーションが用意されている。
NCSCはPygmy Goatに対する主な防御策として次の項目を挙げている。
NCSCはPygmy Goatに対して組織全体での対策強化を呼びかけている。特にこのマルウェアは巧妙な隠蔽(いんぺい)手法や複数の感染経路を使っているため、従来の防御手段だけでは十分ではないと警鐘を鳴らしている。また、脆弱性を悪用する攻撃手法に対して迅速なパッチの適用と、異常通信の監視の徹底が有効な対策であると呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.