新たな25万人規模のDDoSボットネット「Meris」発見

news

推定25万台のマルウェアに感染した機器で構成される新たなボットネットが存在し、6月と9月の2回にわたり、最大規模の容積型DDoS攻撃の記録を更新しました。

ラトビア語で「疫病」を意味する「Mēris」と名付けられたこのボットネットは、主にロシア、英国、米国、ニュージーランドなど複数の国のインターネットサービスプロバイダや金融機関に対するDDoS攻撃の一環として利用されてきました。

ボットネットを運用しているグループは、一般的に大企業に対して身代金の支払いを求める脅迫的な電子メールを送信します。

このメールは、大規模なオンラインインフラを持ち、ダウンタイムを許されない企業をターゲットにしたもので、期限までに一定額の暗号通貨を支払わなければ、重要なサーバーを停止するという脅しが含まれています。

被害者が支払いをしない場合、ハッカーはボットネットを使って、最初は小規模な攻撃を行い時間の経過とともに規模を大きくして、被害者に圧力をかけます。

Meris – “新しいタイプのボットネット”

ロシアのDDoS緩和サービスであるQrator Labsは、ロシア企業に対する一連の攻撃を受けて、公開したブログ記事の中で、Merisを「新しい種類のボットネット」と表現しました。

ここ数週間、ニュージーランド、米国、ロシアに対して壊滅的な攻撃が行われていますが、これらはすべてこのボットネット種に起因しています

Merisは、非常に堅牢なネットワークを含む、ほとんどすべてのインフラを圧倒することができます。

これはすべて、このボットネットがもたらす膨大なリクエスト量(RPS攻撃)によるものです

RPS攻撃は、容積型DDoS攻撃やアプリケーション層DDoS攻撃と呼ばれていますが、攻撃者が標的となるサーバにリクエストを送信し、そのCPUやメモリを圧倒することに重点を置いている点が特徴となっています。

ボリューメトリック攻撃は、ジャンクトラフィックで帯域を詰まらせるのではなく、サーバーのリソースを占有し、最終的にはサーバーをクラッシュさせることを目的としています。

Merisは最大規模のボリューメトリックDDoS攻撃の記録を2度更新し、Cloudflare社によるとMerisは2021年6月に米国の金融会社を襲った1,720万RPSのDDoS攻撃を行いました、さらに9月5日(日)に行われた攻撃では、Melisはさらに大きな成果を上げ、2,180万RPSを記録したとのことです。

ボットネットのほとんどは、侵害されたMikroTik機器で構成されている

Qrator社によると、攻撃トラフィックのほとんどの発生源を分析した結果、そのほとんどがルーター、IoTゲートウェイ、WiFiアクセスポイント、スイッチ、モバイルネットワーク機器などのネットワーク機器を販売しているラトビアの小企業、MikroTik社の機器につながっていたという。

同社によると、攻撃者がMikroTik社のソフトウェアのゼロデイを発見して武器にしたのか、それとも過去のエクスプロイトを生きているだけなのかは判断できないとのことです。

Melisの25万台の巨大なメッシュになったMikroTik機器の数が多いことから、ゼロデイが存在していると考えられています。

Comments

タイトルとURLをコピーしました