最近、比較的新しいクラウドサービスプロバイダ(CSP)をターゲットにして暗号資産のマイニングやクリプトジャッキング攻撃を行うLinuxマルウェアの脅威の新たな手口が確認されました。この記事では、Huawei Cloud向けアプリケーションやサービスを削除する不正コードを利用するLinux向けマルウェアの新たな手口について説明します。この不正コードは、セキュリティ問題の検出、システムの保護、エージェントの監視を行うHuawei Cloud Linuxのエージェントプロセスである「hostguard」のサービスを無効化します。さらに不正コードには、パブリックイメージにデフォルトでインストールされているElastic Cloud Service(ECS)インスタンスのパスワードをリセットさせる「CloudResetPwdUpdateAgent」というオープンソースのプラグインエージェントも含まれています。今回確認された不正コードのシェルスクリプトがこれら2つのサービスを含んでいることから、攻撃者はHuawei Cloudの脆弱なECSインスタンスを標的にしていることが推測されます。
図1:Host-guardを無効化し、CloudResetPwdUpdateAgentプラグインエージェントを使用してECSインスタンスのパスワードをリセットする不正コード
続きを読む