L7 DDoS Botnet Hijacked 5.76M Devices to Launch Massive Attacks
2025/09/12 CyberSecurityNews — 2025年3月初旬に Qrator Labs のセキュリティ・チームが観測したのは、複数の分野の Web アプリを標的とする、前例のない規模の L7 DDoS ボットネットである。このボットネットは当初、133万台のデバイスを侵害していたが、その後に勢力を急速に拡大し、HTTP GET フラッド攻撃を利用してサーバ・リソースを枯渇させ、従来のレート制限を回避していった。
2025年5月中旬までに、このボットネットのノード数は 460万台に達し、さらに脅威をエスカレートさせた。具体的には、侵害した IoT デバイスやセキュリティの不十分なエンドポイントを悪用することで、その攻撃対象領域を拡大している。
そして9月の時点では、このネットワークは 576万台の IP アドレスを取り込む規模へと拡大し、政府機関に対する協調攻撃を行い、数千万リクエスト/秒を生成している。
Qrator Labs のアナリストたちが指摘するのは、地理的な分布にみられる顕著な変化であり、悪意のトラフィックの主要な発生源として、ブラジル/ベトナム/米国が浮上したことだ。
この攻撃は2つの波に分かれて展開された。第1波では約 280万台のデバイスが悪用され、1時間後に 300万台のノードが動員された。
第2波の HTTP ヘッダーには、単純なトラフィック・フィルタリングを回避するために設計された、ランダム化された User-Agent 文字列が含まれていた。
Qrator Labs の研究者たちが特定したのは、ボットネットの制御メカニズムにおいて、急速な拡大を可能にする重要な変更である。
このマルウェアは、暗号化チャネルを介して分散型の C2 (Command and Control) インフラと通信するが、ブラックリスト回避のために C2 が頻繁に切り替えられている。
それぞれの C2 エンドポイントが、アクティブな状態を維持するのは数時間であるため、シグネチャ・ベースの緩和策では対応が困難であった。
感染メカニズムと持続性
主要な感染ベクターは、デフォルト認証情報の悪用と、一般的な IoT ファームウェアに存在する未修正の脆弱性を突くブルートフォース攻撃である。
そのような経路からデバイスに侵入したマルウェアは、軽量なルートキットを展開し、ネットワーク・インターフェイスに潜伏してファームウェア更新ルーチンを傍受する。
Qrator Labs が抽出したコード・スニペットが示すのが、この永続化の戦略である。
// ファームウェア更新呼び出しを傍受
int hook_update(char *path) {
if (!strcmp(path, "/usr/bin/fw_update")) {
launch_payload();
return 0;
}
return orig_update(path);
}
この手法により、システムが再起動されるたびに悪意のモジュールが再ロードされ、再起動による修復という単純な手段は無効化される。
さらに、このステルス型ルートキットは、疑わしいプロセスのリストを抑制することで検出/削除を困難にしている。
大規模な L7 DDoS ボットネットが観測されたようです。その原因となるのは、IoT 機器やセキュリティの甘い端末に残されている、デフォルト認証情報や、修正されていない既知の脆弱性とのことです。それらを足がかりにデバイスに侵入した攻撃者は、ルートキットを仕込んでファームウェア更新を監視し、再起動後も活動を続けられるようにしています。この仕組みにより、感染した機器は長期にわたって攻撃基盤として利用され続け、通常の対処方法では除去が難しくなってしまうと、この記事は指摘しています。よろしければ、Botnet で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.