SambaCryを悪用し、ハッカーはバックドア型トロイの木馬SHELLBINDをインストールします。
正体不明の攻撃者はファイル共有サーバーSambaの古いバージョンを使用しているLinuxベースのデバイス上にバックドアをインストールするためにSambaCryの脆弱性を悪用しています。
EternalRed(CVE-2017から7494)として知られているSambaCryの脆弱性に関する詳細は、今年5月に開示されました。情報公開後二週間で、ハッカーは、ビットコインEternalMinerのマイナーによって、Linuxベースサーバの感染のために、脆弱性を悪用し始めました。現在、トレンドマイクロの専門家は、SambaCry悪用による攻撃で、悪質なソフトウェアSHELLBINDも使用されていることを発見しました。
SHELLBINDは、リモート感染デバイス上でシェルを開くことができるシンプルなバックドア型トロイの木馬です。マルウェアは、ローカルファイアウォールのポリシーを変更し、TCPポート61422を開くため、攻撃者は、ハッキングされたデバイスに接続することができます。SHELLBINDは、ポート80を介して、169.
239.128.123サーバにpingを打つことによって、成功した感染についてオペレータに通知します。攻撃者は、サーバログから新しいIPアドレスを抽出し、手動でポート61422を経由して感染したホストに接続します。マルウェアのコードにはり付けられているトロイの木馬のシェルへのアクセスは、パスワードで保護されています。
Linuxサーバへ感染したEternalMinerとは異なり、SHELLBINDは、主にネットワーク接続ストレージ(NAS)で発見されたが、他のIoTデバイスにも感染しました。
記事提供元: http://www.securitylab.ru
翻訳: Kazunori Yoshida