EnemyBot malware adds exploits for critical VMware, F5 BIG-IP flaws
2022/05/29 BleepingComputer — 複数のマルウェア・コードをベースにしたボットネット EnemyBot は、Webサーバー/CMS/IoT/Android 端末などで公開されたばかりの、深刻な脆弱性の悪用に迅速に対応し、その範囲を拡大している。このボットネットは、Securonix の研究者により 3月に初めて発見され、Fortinet から新しいサンプルの分析結果が提供された 4月には、すでに 12種類以上のプロセッサ・アーキテクチャの不具合を統合していた。このマルウェアは、分散型サービス拒否 (DDoS) 攻撃を主目的としており、新しいターゲット・デバイスをスキャンして感染させるモジュールも備えている。
新たな変種の登場
AT&T Alien Labs の新しいレポートによると、EnemyBot の最新バージョンには、24種類の脆弱性のエクスプロイトが組み込まれていると指摘されている。そのほとんどは致命的なものだが、CVE 番号さえないものがいくつかあるため、防御の実装がより困難になっている。
4月に悪用された脆弱性では、ルータや IoT 機器に関連するものが多かった。CVE-2022-27226 (iRZ)/CVE-2022-25075 (TOTOLINK) などがあり、その中でも Log4Shell が最も注目されていた。しかし、AT&T Alien Labs が分析した新たな変種には、以下のセキュリティ問題のエクスプロイトが含まれていた。
- CVE-2022-22954: VMware Workspace ONE Access/VMware Identity Manager に影響を及ぼす深刻なリモート・コード実行の脆弱性 (CVSS: 9.8) 。PoC エクスプロイトが 2022年4月に公開されている。
- CVE-2022-22947: Spring のリモート・コード実行の脆弱性は2022 年3月にゼロデイとして修正されているが、2022年4月中には大規模な標的が設定された。
- CVE-2022-1388: F5 BIG-IPに影響するリモート・コード実行の深刻な脆弱性であり、脆弱なエンドポイントでデバイスの乗っ取りが生じる恐れがある(CVSS:9.8)。最初の PoC エクスプロイトは 2022年5月に出現し、ほぼ即座に悪用が開始されている。

このマルウェアの、新バージョンでサポートされているコマンドのリストを見ると RSHELLが 目立っており、感染させたシステム上にリバースシェルを作成するために使用されている。それにより、脅威アクターはファイアウォールの制限を回避し、感染させたマシンへのアクセスを達成する。以前のバージョンで見られたコマンドは、すべて残っており、DDoS 攻撃に関する豊富なオプションが提供されている。
見解
EnemyBot の背後にいるグループ Keksec は、このマルウェアを積極的に開発しており、また、Tsunami/Gafgyt/DarkHTTP/DarkIRC/Necro などの悪質なプロジェクトも抱えている。Keksec は経験豊富なマルウェア作者のようであり、最新のプロジェクトに細心の注意を払い、新しい脆弱性エクスプロイトが出現すると直ちに対応し、システム管理者が修正プログラムを適用する前に追加することも多いようだ。
さらに悪いことに、AT&T の報告によると、Keksec と密接に関係していると思われる何者かが EnemyBot のソースコードを公開し、あらゆる敵対者が利用できる状態にしているとのことだ。この種の脅威から保護するために推奨されるのは、ソフトウェア製品の更新が可能になったら直ちにパッチを適用すること、そして、送信接続を含むネットワーク・トラフィックを監視することである。
現時点の EnemyBot の主な目的は DDoS 攻撃だが、このマルウェアがより強力なデバイスをターゲットにしているため、不正アクセスや暗号化などの可能性も考慮する必要がある。
この2ヶ月ほどの間に発見された脆弱性の中でも、VMware の CVE-2022-22954/Spring の CVE-2022-22947/F5 BIG-IP の CVE-2022-1388 は、その深刻度と影響範囲の広さから、Top-3 とも言えるものです。それらに、即座に対応する EnemyBot は、とても怖い存在ですね。4月13日の「EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中」では、そのタイトルにあるように Mirai の亜種であると紹介されていました。かなり、詳細に解説されている記事なので、よろしければ、ご参照ください。