MyloBot Botnet Spreading Rapidly Worldwide: Infecting Over 50,000 Devices Daily
2023/02/21 TheHackerNews — MyloBot という高度なボットネットは、数千のシステムを侵害しており、その大半がインド/米国/インドネシア/イランなどに配置されている。 これは BitSight の最新の調査結果によるもので、現時点において、毎日 50,000 以上のユニークな感染システムが確認されているが、2020年の最高値である 250,000 のユニークなホストからは減少しているとのことだ。また、MyloBot のインフラの分析により、BHProxies と呼ばれる住宅用プロキシ・サービスへの接続が見つかり、侵害されたマシンが利用されていたことが判明した。
2017年に登場した MyloBot は、2018年に Deep Instinct により初めて文書化され、そのアンチ解析手法とダウンローダーとしての機能が注目を集めた。
Lumen の Black Lotus Labs は、「Mylobot が危険なのは、ホストに感染した後に、あらゆる種類のペイロードをダウンロードして実行する能力だ。つまり、いつでも攻撃者が望むタイプのマルウェアを、ダウンロードできることを意味する」と、2018年11月に投稿されたブログで述べている。
そして、2022年に、このマルウェアは、$2,700 以上の Bitcoin を要求する金銭的動機のキャンペーンの一環として、ハッキングしたエンドポイントから恐喝メールを送信していたことが確認されている。
MyloBot は、ボット・マルウェアを解凍して起動するために、多段階のシーケンスを採用することで知られている。また、検出回避のために、C2 サーバへのコンタクトの前に、14日間アイドル状態に入ることも特徴の1つだ。
MyloBot の主な機能は、マルウェアに埋め込まれたハードコードされた C2 ドメインへの接続を確立し、次の指示を待つことである。
BitSight は、「Mylobot は C2 から指示を受けると、感染させたコンピュータをプロキシに変換する。感染したマシンは、数多くの接続を処理することで、C2 サーバから送信されるトラフィックの中継を可能にする」と述べている。
このマルウェアの後続のバージョンでは、ダウンローダーが C2 サーバに連絡し、C2 サーバは 暗号化メッセージで応答するが、そこには MyloBot ペイロードを取得するためのリンクを取り込まれている。
より大きな何かの一部として、MyloBot が機能している可能性を示す証拠もある。このボットネットの C2 インフラに関連する、IP アドレスの1つを DNS で逆引きしたところ、clients.bhproxies[.]com という名前のドメインとの関連があることが判明している。
ボストンに拠点を置くサイバーセキュリティ企業 BitSight は、2018年11月に MyloBot のシンクホールを開始し、時間の経過につれて進化する、このボットネットを追跡し続けていると述べている。
BHProxies という住宅用のプロキシが侵害され、そこからボットネットが拡散されていたようです。techlila の「住宅用プロキシとは何ですか」という記事が、この領域について詳しく説明してくれていますが、適切な管理が行われずに、侵害されたことを気づかないケースが多々あるように思えます。よろしければ、カテゴリ Malware を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.