Mirai-based Botnet Exploiting Zero-Day Bugs in Routers and NVRs for Massive DDoS Attacks
2023/11/23 TheHackerNews — 2つの RCE ゼロデイ脆弱性を悪用して、Mirai ベースの分散型サービス妨害 (DDoS) ボットネット配信し、ルーターやビデオレコーダーを悪意のネットワークに接続させるという、活発なマルウェア・キャンペーンが発生している。Akamai は今週に発表したアドバイザリで、「このペイロードは、ルーターおよび NVR (Network Video Recorder) デバイス存在する、管理者用のデフォルト認証情報を標的として、侵入に成功した後に Mirai の亜種をインストールするものだ」と説明している。
2社のベンダーに関する情報が公開されてしまうと、他の脅威アクターに悪用される可能性があるため、現状では脆弱性の具体的な内容は伏せられている。1つの脆弱性に対する修正パッチは、12月にリリースされる予定だという。
この攻撃は、2023年10月下旬に Akamai のハニーポットで初めて発見されたが、現時点では実行犯は特定されていない。
このボットネットは、C2 (command-and-control) サーバ名やハードコードされた文字列に、人種的で攻撃的な言葉が使用されていることから、InfectedSlurs というコードネームで呼ばれており、2018年1月に発見された JenX Mirai マルウェアの亜種だと推測されている。
NSFOCUS の最近の分析では、JenX Mirai の亜種を利用したクラスタには、2023年9月に出現した HailBot Mirai 亜種が関連する、追加のマルウェアのサンプルも発見されていると、Akamai は述べている。
北京に本社を置く NSFOCUS は、「HailBot は、Mirai のソースコード・ベースで開発されており、その名前は実行後に出力される文字列情報 “hail china mainland” に由来する」と指摘し、脆弱性の悪用や脆弱なパスワードを介して感染する能力について述べている。
その一方で Akamai は、WSO (Web shell by oRb) の “高度な反復” である wso-ng という Web シェルについて詳述している。同社によると、このシェルは VirusTotal や SecurityTrails のような正規のツールと統合されている一方で、アクセスを試みる際に表示される 404 エラーページの背後に、ログイン・インターフェイスを隠しているという。
この Web シェルの注目すべき偵察能力は、その後の横移動のために AWS のメタデータを取得することであり、また、機密アプリケーション・データへの不正アクセスを得るために、Redis データベース接続の可能性を検索することである。
2021 年に投稿したブログで Microsoft は、「この Web シェルにより攻撃者は、サーバ上でコマンドを実行してデータを窃取する。また、侵害したサーバを介して、クレデンシャルの窃盗/横方向への移動/追加ペイロードのデプロイ/ハンズオン・キーボード・アクティビティなどの、各種の機能を実行できる」と述べている。
この脅威アクターは、既製の Web シェルを使用することで、帰属性の確認を困難にしている。さらに、情報収集を専門とするサイバー・スパイ・グループにとって重要な、レーダーの回避も試みていると見られている。
攻撃者たちが採用する、もう1つの一般的な手口は、C2 目的やマルウェア配布のために、侵害した正当なドメインを使用することである。
2023年8月に Infoblox が公表したのは、条件を満たした訪問者たちを、C2 および辞書ドメイン生成アルゴリズム・ドメインへとリダイレクトする、侵害済み WordPress サイトを取り込んだ広範な攻撃シナリオである。この活動は、VexTrio という脅威アクターによるものと見られている。
どの Router/NVR なのかが不明ですが、ちょっと心配な展開ですね。このところの Mirai ですが、2023/10/10 の「Mirai DDoS マルウェアの亜種を検出:13種類のルーターを悪用するための武器とは?」が、直近の記事となります。よろしければ、Mirai で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.