FBIは、BADBOX 2.0マルウェアキャンペーンが100万台以上の家庭用インターネット接続機器に感染し、家電製品を悪意のある活動に使用される家庭用プロキシに変えていると警告しています。
BADBOXボットネットは、中国製のAndroidベースのスマートテレビ、ストリーミングボックス、プロジェクター、タブレット、その他のモノのインターネット(IoT)デバイスに一般的に見られます。
「BADBOX 2.0ボットネットは、数百万台の感染デバイスから構成され、プロキシサービスへの多数のバックドアを保持しています。このバックドアをサイバー犯罪者が悪用し、侵害されたホームネットワークへのアクセスを販売したり、無料で提供したりして、さまざまな犯罪活動に利用されています」とFBIは警告しています。
これらのデバイスには、マルウェアBADBOX 2.0ボットネットがプリインストールされているか、ファームウェア・アップデートのインストール後や、Google Playやサードパーティのアプリストアに忍び込んだ悪意のあるAndroidアプリケーションを通じて感染します。
「サイバー犯罪者は、ユーザーが購入する前に悪意のあるソフトウェアで製品を設定するか、通常はセットアップの過程で、バックドアを含む必要なアプリケーションをダウンロードする際にデバイスを感染させることで、ホームネットワークに不正アクセスする」とFBIは説明している。
「これらの侵害されたIoTデバイスが家庭内ネットワークに接続されると、感染したデバイスはBADBOX 2.0ボットネットの一部となり、悪意のある活動に使用されることが知られている家庭内プロキシサービス4となる可能性がある。
感染すると、デバイスは攻撃者のコマンド・アンド・コントロール(C2)サーバーに接続し、そこで感染したデバイス上で実行するコマンドなどを受け取る:
- レジデンシャル・プロキシ・ネットワークマルウェアは、他のサイバー犯罪者からのトラフィックを被害者の自宅のIPアドレス経由でルーティングし、悪意のある活動を隠蔽する。
- 広告詐欺:BADBOXはバックグラウンドで広告を読み込んでクリックし、脅威行為者に広告収入をもたらします。
- クレデンシャルスタッフィング: 攻撃者は、被害者のIPを活用することで、盗んだ認証情報を使用して他の人のアカウントにアクセスしようとします。
BADBOX 2.0は、2023年にT95のような安価で無名のAndroid TVボックスにプリインストールされていることが発見され、初めて特定されたオリジナルのBADBOXマルウェアから進化したものです。
このマルウェア・ボットネットは、2024年にドイツのサイバーセキュリティ機関が、感染したデバイスと攻撃者のインフラとの間の通信をシンクホールすることで国内のボットネットを破壊し、マルウェアを事実上使用不能にするまで、何年にもわたって拡大を続けた。
しかし、それでも脅威者は止まらず、1週間後に192,000台のデバイスにマルウェアがインストールされているのを発見したと研究者は述べている。さらに問題なのは、このマルウェアがYandex TVやHisenseのスマートフォンなど、より主流なブランドで見つかったことだ。
残念ながら、これまでの混乱にもかかわらず、ボットネットは拡大を続け、HUMANのSatori Threat Intelligenceによると、2025年3月までに100万台以上の消費者向けデバイスが感染したという。
この新たな大規模ボットネットは現在、マルウェアキャンペーンの新たな追跡を示すためにBADBOX 2.0と呼ばれています。
「この計画は、100万台以上の消費者向けデバイスに影響を与えました。BADBOX 2.0の作戦に接続されたデバイスには、低価格帯の “ブランド外 “の未認証タブレット、コネクテッドTV(CTV)ボックス、デジタルプロジェクターなどが含まれていました」とHUMANは説明しています。
「感染したデバイスはAndroid Open Source Projectデバイスであり、Android TV OSデバイスやPlay Protect認定Androidデバイスではありません。HUMANは、世界222の国と地域からのBADBOX 2.0に関連するトラフィックを観測しました。
HUMANの研究者は、BADBOX 2.0ボットネットは222カ国にまたがっており、侵害されたデバイスの数が最も多いのはブラジル(37.6%)、米国(18.2%)、メキシコ(6.3%)、アルゼンチン(5.3%)であると推定しています。
出典:HUMAN Satori
HUMANのSatoriチームとGoogle、Trend Micro、The Shadowserver Foundation、およびその他のパートナーが主導した共同作戦では、BADBOX 2.0ボットネットが再び破壊され、50万台以上の感染デバイスが攻撃者のサーバーと通信できなくなりました。
しかし、この混乱にもかかわらず、消費者がより多くの危険な製品を購入し、インターネットに接続することで、ボットネットは拡大を続けています。
BADBOXマルウェアの影響が確認されているデバイスのリストを以下に示します:
| デバイスモデル | デバイスモデル | デバイスモデル | デバイスモデル |
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | プロジェクター_T6P |
| X96QPRO-TM | SP7731E_1H10_ネイティブ | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | オーブスマート_TR43 | Z6 |
| TVBOX | スマート | KM9PRO | A15 |
| トランススピード | KM7 | アイシンボックス | I96 |
| スマートテレビ | フジコムスマートTV | MXQ9PRO | MBOX |
| X96Q | イシンボックス | エムボックス | R11 |
| ゲームボックス | KM6 | X96Max_Plus2 | TV007 |
| Q9スティック | SP7731E | H6 | X88 |
| X98K | TXCZ |
BADBOX 2.0感染の症状には、不審なアプリマーケットプレイス、無効化されたGoogle Playプロテクト設定、ロック解除済みまたは無料コンテンツにアクセスできると宣伝されているTVストリーミングデバイス、不明なブランドのデバイス、不審なインターネットトラフィックなどがあります。
さらに、このマルウェアは、Google Playプロテクトの認証を受けていない端末で一般的に確認されています。
FBIは、消費者に対し、以下の手順でボットネットから身を守るよう強く勧告している:
- ホームネットワークに接続されているすべての IoT デバイスに不審な動きがないか確認する。
- 無料ストリーミング」アプリを提供する非公式マーケットプレイスからアプリをダウンロードしない。
- ホームネットワークとのインターネットトラフィックを監視する。
- 家庭内のすべてのデバイスを最新のパッチとアップデートに更新しておく。
最後に、デバイスが危険にさらされていると思われる場合は、そのデバイスを他のネットワークから隔離し、インターネットへのアクセスを制限して、マルウェアを効果的に阻止する必要があります。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments