Minecraft Servers Under Attack: Microsoft Warns About Cross-Platform DDoS Botnet
2022/12/16 TheHackerNews — 12月15日 (木) に Microsoft は、主にプライベートな Minecraft サーバに対して DDoS 攻撃を行うために設計された、クロスプラットフォーム・ボットネットにフラグを立てた。このボットネットは MCCrash と呼ばれ、Windows ホスト上でダウンロードされた悪意のソフトウェアから発生するが、Linux ベースのデバイスに伝播するという、独自の拡散メカニズムが特徴となっている。
Microsoft は、「この ボットネットは、インターネットに公開された SSH 対応デバイスのデフォルト認証情報を列挙することで拡散する。一般的に、潜在的に安全とは言えない設定で、リモート設定が可能になっている IoT デバイスは、このボットネットのような攻撃の危険にさらされる可能性がある」と報告書で述べている。
つまり、感染元である PC からマルウェアを削除しても、IoT デバイスにマルウェアが残存する可能性があることを意味している。Microsoft 技サイバー・セキュリティ部門は、DEV-1028 という新たな呼称で、この悪意のアクティビティを追跡している。
感染の大部分は、ロシアで報告されているという。それに続くのが、カザフスタン/ウズベキスタン/ウクライナ/ベラルーシ/チェコ/イタリア/インド/インドネシア/ナイジェリア/カメルーン/メキシコ/コロンビアなどであるが、感染の件数は少ないないと報告されている。なお、Microsoft は、キャンペーンの正確な規模を公表していない。
このボットネットのイニシャル感染ポイントは、Windows の違法ライセンスを提供するという、クラッキング・ツールをインストールすることで侵害された、マシンのプールである。
このソフトウェアは、ディクショナリ攻撃を行うために SSH 対応の Linux デバイスをスキャンし、ボットネットのコア機能を取り込んだ、Python ペイロードを実行するための導線として機能する。
この増殖方式で Linux ホストに侵入すると、同じ Python ペイロードが DDoS コマンドを実行するために展開されるが、そのうちの1つは、Minecraft サーバをクラッシュさせる設定が施されている (ATTACK_MCCRASH)。
この方法について、Microsoft は非常に効率的だと評し、また、アンダーグラウンド・フォーラムで、サービスとして提供されている可能性が高いと指摘している。
研究者である David Atch/Maayan Shaul/Mae Dotan/Yuval Gordon/Ross Bevington は、「この種の脅威は、組織における従来からのエンド・ポイントだけではなく、安全性が低いことが多い IoT デバイスに関しても、確実に管理し、最新の状態に保ち、監視することの重要性を強調している」と述べている。
先日には、GoTrim と名付けられた新しいボットネットの詳細が、FortiGuard Labs により明らかにされ、セルフ・ホスティングの WordPress サイトに、ブルートフォース攻撃が仕掛けられる様子が観察されていた。
Minecraft サーバを介した DDoS ボットネットは、2022年10月13日の「Mirai ボットネットが Minecraft Server に DDoS 攻撃:2.5 Tbps のピーク値を記録」という記事でも、紹介されていました。ベースになっていたのは、Cloudflare のレポートであり、「2.5 Tbps の攻撃は、全体で約2分間のものであり、2600万 RPS ピークを記録したのは、わずか 15秒間だった」という同社のコメントが紹介されていました。そして、今回のボットネット MCCrash は、Linux ベースの IoT デバイスへと感染していくようです。よろしければ、9月6日の「Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.