Windigo Still not Windigone: An Ebury Update|ESET

ESETは10月30日(米国時間)、「Windigo Still not Windigone: An Ebury Update」において、マルウェア「Linux/Ebury」の新しいサンプルを発見したと伝えた。このマルウェアは、OpenSSHにバックドアを仕掛けてLinuxサーバの認証情報を窃取するもの。

ESETは2014年2月、Linux/Eburyについて報告。このマルウェアは「Operation Windigo」と呼ばれる取り組みで使われていると指摘していた。ESETは2017年2月にこのLinux/Eburyの新しいバージョンを発見。従来のものよりも機能が増えており、さらに現在でも開発が進められていることが確認されたとしている。Linux/Eburyを使ったアカウントデータの窃取行為は現在も続いており、Windigoギャングによって現在でも活発に利用されていると説明している。

最新バージョンのLinux/Eburyは巧みに自身を隠蔽しており、簡単には確認することが難しい。ESETの記事ではlsofやobjdumpなどを使って疑わしいプロセスやライブラリを特定する方法も紹介している。アカウントの流出が疑われる場合など、掲載されている方法を試すなどしてチェックすることが望まれる。