Fortinetはこのほど、「Analyzing ELF/Sshdinjector.A!tr with a Human and Artificial Analyst|FortiGuard Labs」において、中国に関係しているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Evasive Panda(別名:Daggerfly)」がSSHデーモンを侵害するマルウェア「ELF/Sshdinjector.A!tr」を用いたとして、その調査結果を公表した。

このマルウェアは2024年11月ごろに発見され、サイバー攻撃キャンペーン「Operation Lunar Peek」にも使用されたという(参考:「Palo Alto Networksの緊急脆弱性で2,000台に被害、国内にも影響あり | TECH+(テックプラス)」)。しかしながら、これまでにこのマルウェアに関する情報がないとして、同社は分析結果を公開した。

  • Analyzing ELF/Sshdinjector.A!tr with a Human and Artificial Analyst|FortiGuard Labs

    Analyzing ELF/Sshdinjector.A!tr with a Human and Artificial Analyst|FortiGuard Labs

マルウェアの概要

Fortinetによるとマルウェア「ELF/Sshdinjector.A!tr」は、Linuxなどで使用されるSSH(Secure SHell)デーモンのライブラリ「libsshd.so」に感染するとされる。その侵害手順は次のとおり。

  • 攻撃者は何かしらの手法でマルウェアドロッパーを展開して実行する
  • ドロッパーはls、netstat、crondなどシステム標準コマンドを侵害して永続性を確保する
  • 最後にマルウェア本体をlibsshd.soに感染させる
  • マルウェアの侵害経路 - 引用:Fortinet

    マルウェアの侵害経路 引用:Fortinet

マルウェアはコマンド&コントロール(C2: Command and Control)サーバに接続して遠隔からの指示でコマンドを実行する機能があり、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)として機能する。Fortinetの分析により確認された主な機能は次のとおり。

  • システム情報およびMACアドレスの窃取
  • 実行中サービスの一覧窃取
  • shadowファイル(暗号化されたパスワード)の窃取
  • プロセス一覧の窃取
  • /var/log/dmesgへのアクセステスト
  • /tmp/fcontr.xmlへのアクセステスト
  • 指定ディレクトリ内の一覧を窃取
  • ファイルの送受信
  • シェルの起動
  • コマンドの実行
  • マルウェアをアンロードして終了する
  • ファイルの削除
  • ファイル名の変更

AIを活用して分析

Fortinetの研究者は、このマルウェアを分析するにあたり生成AIを活用している。その過程と成果も一部を公表しており、利点と問題点を指摘している。

利点として挙げたのは、自動化による作業の高速化と高品質なソースコード(逆コンパイル結果)の出力。特にソースコードは読みやすく、理解が容易だという。しかしながら、同時にそのソースコードは正しいとは限らない問題があると説明している。

そこで、研究者は従来の逆コンパイラが出力した正確だが読みづらいソースコードを並べて表示し、相互に補完し合う分析アプローチを推奨している。研究者はこの分析で使用した逆コンパイラについて述べていないが、生成AIにはClaude 3.5を利用したと明らかにしている。