KmsdBot ボットネットは DDoS 傭兵:ゲームサーバから高級ブランドまでが標的

KmsdBot Botnet Suspected of Being Used as DDoS-for-Hire Service

2022/12/20 TheHackerNews — KmsdBot ボットネットの継続的な分析により、それが DDoS-for-Hire であり、他の脅威アクターに提供されている可能性が浮上してきた。Akamai は、その理由として、KmsdBot ボットネットが攻撃した業界や地域が異なる点を挙げている。注目すべきターゲットとしては、Grand Theft Auto V や Red Dead Redemption 2 のゲーム改造を行う FiveM や RedM があるが、その一方では、高級ブランドやセキュリティ企業なども挙げられている。


KmsdBot は Go ベースのマルウェアであり、SSH を介してシステムに感染し、暗号通貨のマイニングなどおこなう。また、TCP/UDP を使ってコマンドを起動し、分散サービス妨害 (DDoS) 攻撃を行なうともされれている。

しかし、このマルウェアのソースコードには、エラー・チェックの仕組みがないため、先月にはマルウェア運営者の不注意により、自身のボットネットをクラッシュさせるという事態も発生している。

Akamai の研究者である Larry W. Cashdollar と Allen West は、「観測された IP とドメインから、被害者の大半はアジア/ヨーロッパ/北米に位置している。一連の操舵の実態は、これまでに標的となったゲーム・サーバの観察結果と一致し、このレンタル・ボットネットの顧客層が浮かび上がってくる」と述べている。


攻撃トラフィックを調査した Akamai は、KmsdBot がリモート・サーバから受け取る 18 種類のコマンドを特定した。そのうちの1つは “bigdata” と呼ばれ、大量のデータを含むジャンク・パケットをターゲットに送り、その帯域を枯渇させるものと対応している。

また、”fivem” や “redm” などの、ビデオ・ゲームの MOD サーバを標的とするコマンドもあれば、”scan” と呼ばれるコマンドは、ターゲット環境内の特定の経路をねらうものだと思われる。

このボットネットの感染経路を調査したところ、ロシア国内および近隣地域での活動は極めて少ないことから、その起源を知る手がかりにもなっている。

この30日間で観測された攻撃コマンドの内訳を見ると、”bigdata” の頻度が 70回を超えてトップになっている。また、”fivem” は 45回であり、”redm” は 10回未満となっている。

研究者たちは、「このことから、ゲーム・サーバが特定ターゲットになっているが、一連の攻撃を受けている唯一の業界ではないことが分かる。複数の種類のサーバをサポートすることで、このボットネットの全体的な使い勝手が向上し、顧客を効率よく呼び込んでいるようだ」と述べている。

先日には、プライベートな Minecraft サーバに DDoS 攻撃を仕掛ける、MCCrash というクロスプラットフォーム・ボットネットについて、Microsoft が詳述している。そして、その1週間後に、今回の発見が公にされている。

いまは、さまざまな XX-as-a-Service がありますが、それ以前から DDoS-for-Hire という言葉がありました。侵害したコンピュータ・リソースを悪用して、暗号通貨のマイニングと DDoS 攻撃支援を行うというのは、なにかと効率が良さそうな気もします。よろしければ、カテゴリ DDoS と、XX-as-a-Service で検索も、ご利用ください。

%d bloggers like this: