Linuxに感染する「Mumblehard」 - 少なくとも5年前から活動

LinuxやBSDが稼働するサーバをターゲットとするマルウェア「Mumblehard」が確認された。少なくとも5年以上活動していると見られている。

ESETによれば、「Mumblehard」は、感染したサーバにバックドアを設置。プロクシとして動作するほか、スパム送信に利用されていた。「Mumblehard」は少なくとも2009年より活動しており、2014年9月から2015年4月までの約7カ月間に、8867件のユニークなIPアドレスから「Mumblehard」による通信を確認したという。

暗号化されたPerlプログラムがELFバイナリファイルに含まれるほか、アセンブリ言語を駆使するなど洗練された技術力のもと作成されていると同社は分析している。

おもな感染経路は、コンテンツマネジメントシステム（CMS）の「Wordpress」や「Joomla」のエクスプロイト。くわえてESETは、別の感染経路として「Yellsoft」が販売するメール送信ソフト「DirectMailer」の海賊版を挙げており、さらに「Mumblehard」と「Yellsoft」との強い関連性について言及している。

具体的には、プログラムに含まれるコマンド＆コントロールサーバのIPアドレスが、同社ウェブサーバと同じIPアドレスの範囲に含まれていたと指摘。「Mumblehard」が「DirectMailer」の海賊版をインストールすることにくわえ、「DirectMailer」「Mumblehard」に同じ圧縮ツールが使われていたという。

（Security NEXT - 2015/05/08 ） ツイート

PR

関連記事

「PowerDNS」に深刻な脆弱性 - リモートよりDoS攻撃を受けるおそれ
Ubuntu向け「NOD 32」の先行評価版が公開
「Flash Player」更新が公開、ゼロデイ脆弱性含む22件を修正
「Flash Player」が深刻な脆弱性を修正 - 早急なアップデートを
Adobe、「Flash Player」更新による脆弱性の対応件数を修正
Rubyのソースコードを保護するソフトウェア
「GUARDIANWALL」に新版、標的型攻撃メール検知機能など
「Samba」に制御奪われる脆弱性 - アップデートが公開
著名な正規表現ライブラリに深刻な脆弱性
Adobe、脆弱性18件を修正した「Flash Player」のUDを公開