Mirai ベースの Medusa ボットネット:ランサムウェア機能を備えて再登場

Medusa botnet returns as a Mirai-based variant with ransomware sting

2023/02/07 BleepingComputer — Miraiコードをベースにした、Medusa という DDoS ボットネットの新バージョンが、ランサムウェア・モジュールと Telnet ブルートフォースターを搭載し、野放し状態で暴れまわっている。Medusa とは、2015年からダークウェブで宣伝されている、昔からのマルウェア株 (同名の Android トロイの木馬とは別物) であり、2017年には HTTP ベースの DDoS 機能が追加されている。

野放し状態で発見された、この新しい亜種は、昔からのマルウェア系統を受け継いでいる。Cyble によると、この最新バージョンは、Mirai ボットネットの流出したソース・コードをベースにして、Linux ターゲティング機能と、広範な DDoS 攻撃オプションを加えている。

さらに、いまの Medusa は、専用ポータルを介して DDoS やマイニングのための MaaS (Malware-as-a-Service) として宣伝されている。そこでは、サービスの安定性/クライアントの匿名性/サポート/使いやすい API/特定のニーズに対応するカスタマイズとコストなどが約束されている。

The Medusa malware site
The Medusa malware site (BleepingComputer)
ランサムウェア機能

この新しい Medusa 亜種で特に興味深いのは、暗号化において有効なファイル・タイプを。すべてのディレクトリから検索するという、ランサムウェアのための機能である。対象となるファイル・タイプのリストには、主にドキュメントやベクター・デザイン・ファイルなど含まれている。

Filetypes targeted by Medusa
Filetypes targeted by Medusa (Cyble)

有効と判断されたファイルは AES 256 Bit で暗号化され、暗号化されたファイル名には、拡張子.medusastealer が付加される。

The malware's ransomware function
The malware’s ransomware function (Cyble)

しかし、この暗号化の方式には欠陥があると思われ、このランサムウェアはデータ・ワイパーへと変化してしまう。このマルウェアは、デバイス上のファイルを暗号化し、86,400秒 (24時間) スリープした後に、システム・ドライブ上のすべてのファイルを削除する。それらのファイルを削除した後に、0.5 BTC ($11,400) の支払いを求める身代金請求書が表示されるがが、恐喝を成功させようとする意図に反している。

Medusa ransom note
Medusa ransom note (Cyble)

システム・ドライブの破壊により、被害者によるシステムの使用が不能となるため、身代金メモを読むことはできない。したがって、コードにエラーがあると Cyble は見ている。また、このバグは、新しい Medusa の亜種が、まだ開発中であることを示している。

注目すべき点は、新バージョンの Medusa は、データ流出ツールを備えているが、暗号化の前にユーザー・ファイルを盗み出さないというところにある。その代わりに、被害者を特定し、マイニングや DDoS 攻撃に使用できるリソースを推定するための、基本的なシステム情報の収集に重点を置いている。

Data exfiltration from the breached system
Data exfiltration from the breached system (Cyble)
Telnet 攻撃

Medusa は、インターネットに接続されたデバイスに対して、よく使われるユーザー名とパスワードで認証を突破する、ブルートフォーマーも備えている。そして、成功した場合には、追加のペイロードをダウンロードするが、Cyble では取得/分析できていない。

続いて Medusa は、”zmap” コマンドを実行して、ポート 23 で Telnet サービスを実行している他のデバイスを見つけ出し、そこで取得した IP アドレス/ユーザー名/パスワードの組み合わせを用いて接続を試みる。

最終的に Telnet 接続が確立されると、このマルウェアは、プライマリ Medusa ペイロード (infection_medusa_stealer) でシステムを感染させていく。

The Telnet attack function
The Telnet attack function (Cyble)

最終的な Medusa ペイロードは、FivemBackdoor と sshlogin というコマンドを受け取るが、そのサポートは不完全である。つまり、クライアントの Python ファイルは、対応するコードが存在していないため、これも開発が進んでいることの表れだと思われる。

まだ未完成な ランサムウェアである Medusa が、野放し状態で動き回っているようですが、暗号化に失敗するとデータ・ワイパー化し、さらに厄介な存在となっています。Mirai ベースであり、よく使われるユーザー名とパスワードで認証を突破する、ブルートフォース機能も備えているようです。

2022/10/13:Mirai が Minecraft Server に DDoS 攻撃
2022/09/06:D-Link を狙う Moobot ボットネットは Mirai 亜種
2022/08/04:RapperBot とSSH サーバ・ブルートフォース

%d bloggers like this: