New Mirai botnet targets industrial routers with zero-day exploits

比較的新しいMiraiベースのボットネットが高度化し、現在では産業用ルーターやスマートホームデバイスのセキュリティ欠陥に対するゼロデイ・エクスプロイトを活用している。

ボットネットの開発と攻撃を監視していたChainxin X Labの研究者によると、これまで知られていなかった脆弱性の悪用は2024年11月に始まったという。

セキュリティ問題の1つであるCVE-2024-12856は、VulnCheckが12月下旬に発見したFour-Faith産業用ルーターの脆弱性だが、12月20日頃にこれを悪用しようとする動きに気づいた。

ゼロデイ・エクスプロイトを活用するために、NeterbitルーターやVimarスマートホームデバイスの欠陥に対する他のカスタムエクスプロイトと並んで、Four-Faithルーターに影響を与えるCVE-2024-12856に対するゼロデイ・エクスプロイトを活用しています。

ボットネットのプロファイル

このボットネットの名前は同性愛嫌悪を意味するもので、NeterbitルーターとVimarスマートホームデバイスの未知の脆弱性に対するカスタムエクスプロイトにも依存しています。

昨年2月に発見され、現在、中国、米国、ロシア、トルコ、イランを中心に、毎日15,000のアクティブなボットノードを数えている。

その主な目的は、利益を得るために特定のターゲットに対して分散型サービス妨害(DDoS)を実行することで、毎日数百のエンティティを標的としており、その活動は2024年10月と11月にピークを迎えるようだ。

Targeted countries
対象国
出典:X Lab:X Lab

このマルウェアは、20を超える脆弱性に対する公開および非公開のエクスプロイトを組み合わせて活用し、インターネットに露出したデバイスに拡散し、DVR、産業用および家庭用ルーター、スマートホームデバイスを標的とする。

具体的には、以下を標的としている:

  • ASUSのルーター(N-dayエクスプロイト経由)。
  • ファーウェイのルーター(CVE-2017-17215経由)
  • Neterbitルーター(カスタムエクスプロイト経由)
  • LB-Linkルーター(CVE-2023-26801経由)
  • Four-Faith 産業用ルーター(現在 CVE-2024-12856 として追跡されているゼロデイ経由)
  • PZT カメラ (CVE-2024-8956 および CVE-2024-8957 経由)
  • Kguard DVR
  • Lilin DVR(リモート・コード実行エクスプロイトを使用)
  • 汎用DVR(TVT editBlackAndWhiteList RCEなどのエクスプロイトを使用)
  • Vimarスマートホームデバイス(非公開の脆弱性を使用している可能性が高い)
  • 各種5G/LTEデバイス(設定ミスまたは脆弱な認証情報を使用している可能性が高い)

このボットネットは、脆弱なTelnetパスワードのブルートフォースモジュールを備えており、独自のシグネチャを持つカスタムUPXパッキングを使用し、クライアントの更新、ネットワークのスキャン、DDoS攻撃を行うためのMiraiベースのコマンド構造を実装している。

Attack volumes
ボットネット攻撃量
出典:X Lab:X Lab

X Labの報告によると、ボットネットのDDoS攻撃は10秒から30秒と持続時間は短いが、トラフィックは100Gbpsを超える高強度であり、堅牢なインフラであっても障害を引き起こす可能性がある。

「攻撃の標的は世界中に存在し、さまざまな業界に分散しています

「主な攻撃対象は、中国、米国、ドイツ、英国、シンガポールに分散しています」と研究者は述べています。

全体として、このボットネットは、n-dayやゼロ-dayの欠陥のエクスプロイトを使用して、多様なデバイスタイプで高い感染率を維持するユニークな能力を示しています。

ユーザーは、ベンダーが提供する最新のデバイス・アップデートをインストールし、必要なければリモート・アクセスを無効にし、デフォルトの管理者アカウントの認証情報を変更するという一般的な推奨事項に従うことで、デバイスを保護することができる。