Perfctl と呼ばれる高度なマルウェアが、何年もの間 Linux システムに静かに感染し、数千台のマシンを危険にさらしている可能性があります。 Aqua Security のサイバーセキュリティ研究者たちが最近、少なくとも2021年から活動しているこの脅威を発見しました。
多面的な脅威
Perfctl は一般的なマルウェアではありません。サイバー犯罪者の手の中で、以下のような多様な機能を持つ汎用ツールです:
- 暗号通貨のマイニング
- 他の悪意のある攻撃者のためのプロキシとして機能
- 感染したシステムに追加のマルウェアをロード
Perfctl が特に危険なのは、 Linux システムの20,000以上の一般的な設定ミスを悪用できる能力です。この広範な攻撃対象は、インターネットに接続された何百万台ものマシンを危険にさらしています。
ステルス性と持続性
このマルウェアは検出を避けるためにいくつかの手法を採用しています:
- 正規の Linux ツールを模倣したプロセス名とファイル名の使用
- ルートキットとしてのコンポーネントのインストール
- 悪意のあるトラフィックを隠すためのシステムプロセスの操作
- ユーザーに警告する可能性のあるエラーメッセージの抑制
Perfctl は驚くべき持続性も持っています。起動時に実行されるようにシステムスクリプトを変更し、ディスク上の複数の場所に自身をコピーします。ユーザーが削除しようとしても、マルウェアは多くの場合、自身を再起動することに成功します。
 |
|---|
| システム操作とコーディングの表現で、マルウェアが Linux システム内で隠密に動作する様子を示しています |
悪用方法
攻撃者は主に2つの方法で Perfctl を展開します:
- 数千の可能性のある設定ミスの悪用
- Apache RocketMQ の重大な脆弱性である CVE-2023-33426 の利用
影響と範囲
感染したシステムの正確な数は不明ですが、研究者は数千台と推定しています。しかし、潜在的な標的プールははるかに大きく、おそらく何百万台もの脆弱な Linux マシンに及ぶ可能性があります。
システムの保護
Perfctl から身を守るために:
- すべてのシステムとソフトウェア、特に Apache RocketMQ を最新の状態に保つ
- 脆弱性についてシステム設定を定期的に監査する
- 異常な CPU 使用率やシステムの遅延を監視する
- 堅牢なアクセス制御と認証措置を実装する
Linux がサーバーやクラウドインフラストラクチャの人気の選択肢であり続ける中、システム管理者やセキュリティチームが Perfctl のような進化する脅威に対して警戒を怠らないことが重要です。