Mozi IoT Botnet は Mirai の進化形:狙いはネットワーク・ゲートウェイ?

Mozi IoT Botnet Now Also Targets Netgear, Huawei, and ZTE Network Gateways

2021/08/20 TheHackerNews — IoT デバイスを標的とする P2P ボットネットの Mozi が、Netgear / Huawei / ZTE が製造するネットワーク・ゲートウェイ上で、持続性を実現する新たな機能を獲得したという、新たな調査結果が明らかになった。Microsoft Security Threat Intelligence Center および Azure Defender for IoT の Section 52 の研究者たちは、その技術文書の中で、「ネットワーク・ゲートウェイは、企業ネットワークへの理想的なイニシャル・アクセス・ポイントであり、敵対者にとって特に魅力的なターゲットである」と述べている

さらに、「ルーターに感染することで、HTTP ハイジャックや DNS スプーフィングなどの中間者 (MITM) 攻撃を行い、エンドポイントを危険にさらすことでランサムウェアを展開し、OT 施設でインシデントを引き起こすことが可能だ」と付け加えている。

2019年12月に、Netlab 360 により初めてドキュメント化された Mozi は、ルーターやデジタルビデオ・レコーダーを、IoT ボットネットのために構成/感染させた経緯があり、分散型サービス拒否 (DDoS) だけではなく、攻撃開始/データ搾取/ペイロード実行などに悪用される可能性がある。このボットネットは、Gafgyt / Mirai / IoT Reaper などの、既存のマルウェア・ファミリーのソースコードを基に開発されている。

Mozi は、脆弱なデフォルトのリモートアクセス・パスワードの使用や、パッチが適用されていない脆弱性を介して拡散していく。この IoT マルウェアは、BitTorrent に似た DHT (Distributed Hash Table) を用いて通信し、ファイル共有の P2P クライアントと同じメカニズムで、ボットネット内にノードの接続先情報を記録する。侵入したデバイスは、コントローラ・ノードからのコマンドを待ち受け、他の脆弱なターゲットへの感染も試みる。

2020年9月に発表された IBM X-Force の分析では、2019年10月〜2020年6月で観測された Io Tネットワークのトラフィックのうち、Mozi が 90% 近くを占めていたことが指摘されており、IoT デバイスが提供する攻撃対象領域の拡大を利用する、脅威アクターが増えていることを示している。また、先月に Elastic Security Intelligence and Analytics Team が発表した調査では、これまでに少なくとも 24カ国が標的となっており、ブルガリアとインドがその先頭に立っている。

今回、Microsoft の IoT Security Team が行った調査によると、このマルウェアは、「システムが再起動時されるときや、他のマルウェアおよびレスポンダーに動作を妨害されたときに、生存確率を高めるための特定の行動をとる」ことが判明した。この動作には、標的となるデバイス上での持続性の実現や、ゲートウェイへのリモート・アクセスに使用される TCPポート (23 / 2323 / 7547 / 35000 / 50023 / 58000) のブロックなどが含まれる。さらに Mozi は、HTTP セッションのハイジャックや、DNS スプーフィングの実行により、攻撃者が管理するドメインに対して、トラフィックをリダイレクトするための、新しいコマンドをサポートするようアップグレードされている。

Netgear / Huawei / ZTE 製のルーターを使用している企業やユーザーは、強力なパスワードでデバイスを保護し、デバイスのファームウェアを最新に更新することが推奨される。Microsoft は、「それにより、ボットネットが利用する攻撃対象を減らし、新たに発見された持続型攻撃や、その他の攻撃を防ぐことが可能になる」と述べている。

なかなか強烈なボットネットですね。本文にあるように、システムの再起動や動作の妨害に対して、生存確率を高めるための特定の行動をとるという点が、とても気になります。それが可能なら、侵入したシステムを攻撃するのではなく、別の攻撃を成功させるための APT (Advanced Persistent Threat) として、脅威アクターたちは機能させるような気がします。ゼロコロナが不可能なように、悪意のソフトウェアを撲滅することは不可能なのでしょう。

%d bloggers like this: