セキュリティウォッチ Windigoが25,000台のサーバーをハイジャックしてスパム、マルウェアを放出

Windigoが25,000台のサーバーをハイジャックしてスパム、マルウェアを放出

ビデオ: Կրճատված դասախոսները դիմում են դատարան (十一月 2024)

ビデオ: Կրճատված դասախոսները դիմում են դատարան (十一月 2024)
Anonim

ESETによると、攻撃者は25, 000台以上のUnixサーバーを制御し、大量のスパムおよびマルウェア配布プラットフォームを作成しました。 LinuxおよびUnix管理者は、サーバーが被害者に含まれているかどうかをすぐに確認する必要があります。

攻撃キャンペーンの背後にいるギャングは、感染したサーバーを使用して資格情報を盗み、スパムとマルウェアを配布し、ユーザーを悪意のあるサイトにリダイレクトします。 ESETのセキュリティインテリジェンスプログラムマネージャーであるPierre-Marc Bureauによると、感染したサーバーは毎日3, 500万件のスパムメッセージを送信し、50万人のWebビジターを悪意のあるサイトにリダイレクトします。 研究者たちは、Windigo作戦と呼ばれるこのキャンペーンが過去2年半で25, 000台以上のサーバーを乗っ取ったと信じています。 現在、このグループには10, 000台のサーバーが管理されているとビューローは述べた。

ESETは、キャンペーンに関する詳細が記載されたテクニカルペーパーをリリースし、管理者がサーバーがハイジャックされたかどうかを判断するために使用できる単純なsshコマンドを含めました。 その場合、管理者は感染したサーバーにオペレーティングシステムを再インストールし、マシンへのログインに使用したすべての資格情報を変更する必要があります。 Windigoが資格情報を収集したため、管理者はそのマシンで使用されているすべてのパスワードとプライベートOpenSSHキーが危険にさらされており、変更する必要があると想定する必要がある、とESETは警告しました。 推奨事項は、UnixおよびLinuxの両方の管理者に適用されます。

マシンを一掃してオペレーティングシステムを最初から再インストールするのは少し極端に聞こえるかもしれませんが、攻撃者が管理者の資格情報を盗み、バックドアをインストールし、サーバーへのリモートアクセスを取得したことを考えると、核オプションを選択する必要があります。

攻撃要素

Windigoは、Linux / Ebury、OpenSSHバックドア、クレデンシャルスティーラー、およびその他の5つのマルウェアを含むサーバーをハイジャックして感染させるために、洗練されたマルウェアのカクテルに依存しています。 1つの週末の間に、ESETの研究者は、悪意のあるサイトにリダイレクトされる前に、Windigoのインフラストラクチャを通過する110万を超えるさまざまなIPアドレスを観察しました。

Windigoによって侵害されたWebサイトは、クリック詐欺やスパム送信マルウェアをプッシュするエクスプロイトキットでWindowsユーザーを感染させ、Macユーザーにサイトをデートするための疑わしいsを示し、iPhoneユーザーをオンラインポルノサイトにリダイレクトしました。 ビューローによると、cPanelやkernel.orgなどの有名な組織が被害者に含まれていたが、システムをきれいにしたという。

スパムコンポーネントの影響を受けるオペレーティングシステムには、Linux、FreeBSD、OpenBSD、OS X、さらにはWindowsが含まれると、ビューローは言いました。

不正サーバー

世界の5つのWebサイトのうち3つがLinuxサーバー上で実行されていることを考えると、Windigoには多くの潜在的な被害者がいます。 ESETによると、サーバーを侵害するために使用されたバックドアは手動でインストールされ、オペレーティングシステムのソフトウェアの脆弱性ではなく、貧弱な構成とセキュリティ制御を悪用します。

「これらのシステムのそれぞれがかなりの帯域幅、ストレージ、計算能力、およびメモリにアクセスできると考える場合、この数は重要です」とビューローは言いました。

少数のマルウェアに感染したサーバーは、通常のコンピューターの大規模なボットネットよりもはるかに多くの害を引き起こす可能性があります。 サーバーは一般に、ハードウェアと処理能力が優れており、エンドユーザーのコンピューターよりも高速なネットワーク接続を備えています。 昨年、さまざまな銀行のWebサイトに対する強力な分散型サービス拒否攻撃は、データセンターの感染したWebサーバーから発生したことを思い出してください。 Windigoの背後にあるチームが、インフラストラクチャを使用してスパムやマルウェアを拡散する戦術を切り替えて、さらに厄介なものに変更した場合、結果として生じる損害は重大なものになる可能性があります。

Windigoが25,000台のサーバーをハイジャックしてスパム、マルウェアを放出