DirtyMoe ボトネットは 2021年前半だけで 10万台以上の Windows に感染している

DirtyMoe botnet infected 100,000+ Windows systems in H1 2021

2021/06/22 SecurityAffairs — Avast の研究者たちが、DirtyMoe ボットネット (PurpleFox / Perkiler / NuggetPhantom) が急速に拡大しており、2020年に1万台だった感染システムが、2021年前半には10万台以上になったことを警告している。専門家たちは、DirtyMoe をモジュラー・システムとして設計された複雑なマルウェアだと定義している。

この Windows ボットネットは、2017年後半から活動しており、主に暗号通貨のマイニングに使用されていたが、2018年には DDoS 攻撃にも関与していた。DirtyMoe ルートキットは、マルスパム・キャンペーンで配信されていたが、Internet Explorer の脆弱性 CVE-2020-0674 を狙ったエクスプロイト・キット PurpleFox をホストする、悪意のサイトでも提供されていた。DirtyMoe ボットネット活動は、2020年末から急速に変化しており、インターネットを介して他の Windows システムに拡散することで、活動を拡大できるワーム・モジュールも追加されている。

AVAST は、「最近では SMB パスワードのブルートフォースにより、Windows マシンをクラックする新たな感染ベクトルが増加している 」と分析している。このワーム機能を実装したモジュールは、インターネットをスキャンすることで、SMB ポートが開いている Windows システムに対して、パスワード・ブルートフォース攻撃を行うことが確認されている。最もヒットしたのはロシア (65k) であり、そこにウクライナ/ベトナム/ブラジルなどが続いている。

AVAST が提供するデータは、同社のアンチウイルス・ソリューションが稼働しているシステムに限られるため、感染したシステムの数ははるかに多い可能性があると、専門家たちは指摘しているそうです。今回の攻撃に関与した C&C サーバーの多くは中国に設置されており、DirtyMoe の背後にいる脅威アクターたちが、世界規模で活動する組織化されたグループであることを示唆しているとのことです。

%d bloggers like this: