Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Linux Mint」の一部ISOファイルにマルウェア

Linuxディストリビューションである「Linux Mint」のウェブサイトにおいて、一時マルウェアを含むISOファイルに利用者が誘導されていたことがわかった。

同ディストリビューションのウェブサイトが不正アクセスを受け、バックドアが含まれる不正なISOファイルに誘導されていたもの。誘導先はブルガリアの首都であるソフィアのIPアドレスだったという。

詳しい侵入原因はわかっていないが、開発者チームでは、サイトで利用していた「WordPress」を通じて侵入を受けたと説明。WordPressのテーマディレクトリにバックドアとなるPHPファイルが残っていたという。

同サイトではプラグインを利用しておらず、「WordPress」も最新版だったが、カスタムテーマを利用していたほか、一部パーミッション設定に問題があったとしており、セキュリティ専門家が詳細を調べている。

不正なISOファイルとして配布されたバージョンは、現地時間2月20日に同サイトを通じて配布された「Mint 17.3 Cinnamon edition」。公式サイト上のファイルに対するダイレクトリンクや、Torrents経由で入手している場合は影響を受けないとしている。

ISOファイルに仕込まれていたのは、Linux向けのトロイの木馬「Tsunami」。Kaspersky Labの研究者によれば、マルウェアはIRCにより外部と接続。ファイルをダウンロードしたり、コマンドの実行、DDoS攻撃の機能などを搭載。接続先のコマンド&コントロールサーバのアドレス5件が含まれており、そのうち接続できた1件には50台が接続されていたという。

開発者グループは、配布数は多くないものの、不正なISPファイルを使用した場合は影響が大きいと説明。開発者チームは、ISOファイルのMD5ハッシュ値を公開した。

また「/var/lib/」内に「man.cy」がある場合はマルウェアへ感染しているとし、不正なISOファイルから作成したディスクなどは、破棄やフォーマットを行うよう呼びかけている。

影響を受けるISOファイルのハッシュ値は以下のとおり。

6e7f7e03500747c6c3bfece2c9c8394f(linuxmint-17.3-cinnamon-32bit.iso)
e71a2aad8b58605e906dbea444dc4983(linuxmint-17.3-cinnamon-64bit.iso)
30fef1aa1134c5f3778c77c4417f7238(linuxmint-17.3-cinnamon-nocodecs-32bit.iso)
3406350a87c201cdca0927b1bc7c2ccd(linuxmint-17.3-cinnamon-nocodecs-64bit.iso)
df38af96e99726bb0a1ef3e5cd47563d(linuxmint-17.3-cinnamon-oem-64bit.iso)

(Security NEXT - 2016/02/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

開発から運用まで保護するコンテナ向けセキュリティ製品 - クリエーションライン
トレンド、システムをロックダウンしてマルウェア侵入を防ぐソフト最新版
「Flash Player」更新アラート装いマルウェア感染狙う不正広告が拡散 - 「ニコ動」でも掲載
アンラボ、韓国政府の委託で開発した不正Androidアプリの配布を防ぐ新製品 - 組込用ソリューションも提供
FFR、ソフト開発ベンダーやCSIRT向けのマルウェア解析ツールを発売 - 混入調査や挙動解析を実現
「読み取り専用モード」をあらたに搭載したセキュリティUSBメモリ - 「TRAVENTY」シリーズ
エージェントレスで動作する検疫ソリューション - ソリトン