Botnet

2023 年 1 月から 3 月にかけて検出されたキャンペーンでは、複数のマルウェア ボットネットが Cacti および Realtek の脆弱性を積極的に標的にしており、ShellBot および Moobot マルウェアを拡散しています。

対象となる欠陥は、Realtek Jungle SDK の重大なリモート コード実行の脆弱性である CVE-2021-35394 と、Cacti 障害管理監視ツールの重大なコマンド インジェクションの欠陥である CVE-2022-46169 です。

両方の欠陥は、過去にFodchaRedGoBotMirai 、Gafgyt、Mozi などの他のボットネット マルウェアによって悪用されてきました。

Fortinet は、2023 年の悪意のある活動の量が相当なものであり、露出したネットワーク デバイスを標的にして DDoS (分散型サービス拒否) の群れに参加させていると報告しています。

Fortinet のレポートでは、同じ脅威アクターが Moobot と ShellBot を拡散したかどうかを明確に述べていませんが、重複する攻撃バーストで同じ欠陥を悪用するペイロードが観察されました。

ムーボット感染

Mirai の亜種である Moobot は、2021 年 12 月に最初に発見され、Hikvision カメラを標的としていました。 2022 年 9 月に、複数の D-Link RCE の欠陥を対象とするように更新されました。

現在、CVE-2021-35394 および CVE-2022-46169 を標的にして脆弱なホストに感染し、その構成を含むスクリプトをダウンロードして、C2 サーバーとの接続を確立します。

Moobot は、着信コマンドを認識するまでハートビート メッセージを交換し続けます。これが攻撃の開始です。

新しい Moobot バージョンの注目すべき機能は、他の既知のボットのプロセスをスキャンして強制終了し、感染したホストのハードウェア パワーを最大限に利用して DDoS 攻撃を開始できることです。

シェルボット攻撃

ShellBot は 2023 年 1 月に初めて発見され、現在も活発に活動を続けており、主に Cacti の脆弱性を狙っています。 Fortinet は 3 つのマルウェアの亜種をキャプチャしました。これは、このマルウェアが活発に開発されていることを示しています。

最初の亜種は、C2 との通信を確立し、次のいずれかのコマンドの受信を待ちます。

  • ps – 指定されたターゲットとポートでポート スキャンを実行します
  • nmap – 指定されたポート範囲で Nmap ポート スキャンを実行します
  • rm – ファイルとフォルダーを削除します
  • version – バージョン情報を送信
  • down – ファイルをダウンロードする
  • udp – UDP DDoS 攻撃を開始する
  • back – リバースシェルを注入

2023 年 3 月に初めて登場し、すでに数百人の被害者を数えている ShellBot の 2 番目の亜種は、以下に示すように、はるかに広範なコマンド セットを備えています。

ShellBot バリアントでサポートされているコマンド
ShellBot の亜種(Fortinet)でサポートされているコマンド

興味深いことに、このマルウェアは、PacketStorm と milw0rm からのニュースと公開勧告を集約するエクスプロイト拡張モジュールを備えています。

Mootbot と ShellBot を防御するために推奨されるアクションは、強力な管理者パスワードを使用し、前述の脆弱性を修正するセキュリティ アップデートを適用することです。

お使いのデバイスがそのベンダーによってサポートされなくなった場合は、新しいモデルに交換してセキュリティ アップデートを受け取る必要があります。