C0XMOと呼ばれる新たなGafgytファミリーのボットネットは、IoTマルウェア設計における注目すべき技術的転換を示しています。スキャンと伝播を独立したコンポーネントに分離し、多アーキテクチャ対応のペイロードを用いることで、異種混在のLinuxデバイスへの感染範囲を最大化しています。
攻撃者はCVE-2021-27137——脆弱なDD-WRTファームウェアのUPnP SSDPパーサーに存在するスタックバッファオーバーフロー——を悪用してC0XMOを配布しました。ST:uuid:フィールドに過大な値を含む細工されたM-SEARCH UDPパケットを送り込む手法が使われています。
直接の標的は日本のテクノロジー企業でしたが、テレメトリ情報によると、感染チェーンの起点はドイツのIPアドレスであることが示されています。このIPアドレスは/tmp/.cacheにドロッパーを設置し、ARM、MIPS、PowerPC、SuperH、MC68000、Intel 80386、AMD64向けにコンパイルされたバイナリを配布していました。
C0XMOはGafgyt従来の機能——Telnet/SSHの脆弱なパスワードへのブルートフォース攻撃、多様なDDoS攻撃手法、競合マルウェアの排除——を継承していますが、その真価はアーキテクチャ設計にあります。
メインのボットバイナリは永続化、プロセス管理、C2との通信に特化しており、独立したPythonベースのスキャナーが探索と横断的移動を担当します。
このモジュール型設計により、攻撃者は侵害したホストへ軽量かつアーキテクチャ固有のバイナリを展開しつつ、各ターゲットCPUに合ったペイロードを動的に選択できる拡張性の高いスキャナーを運用することが可能になっています。
スキャナーは217[.]160[.]125[.]125:15527でホスティングされており、HTTP通信やSSH/Telnet操作を行うためにrequests、paramiko、beautifulsoup4といったPythonパッケージを必要とします。
FortiGuard LabsがGBhackersと共有したレポートによると、新たなGafgytボットネットの亜種C0XMOはCVE-2021-27137を悪用して拡散するとのことです。
永続化は予測可能な4段階で進みます。まず、自身を隠しディレクトリ(/tmp/.sys、/var/tmp/.sys、/dev/shm/.sys、および任意で$HOME/.sys)にコピーし、次にパーミッションを強化します。その後、15分ごとに実行されるcronジョブを作成し、最後にプロファイルファイル(~/.bashrc、~/.profile)を変更して再実行を保証します。
LinuxをターゲットにするGafgyt亜種
このボットは競合マルウェアの除去ルーチンも実装しています。/procを列挙してブラックリストに登録されたプロセス名(他のボットネット、ネットワークサービス、開発ツール、レッドチームユーティリティなど)を終了させ、競合マルウェアファミリーに関連するバイナリや永続化の痕跡を削除します。
プロセス名がブラックリストのエントリと一致した場合、C0XMOはただちにそのプロセスを終了させます。また、後続のクリーンアップ操作中に誤って自身を削除しないよう、自身のPIDと実行ファイル名を確認する仕組みも備えています。
C2との通信には固定のマジック文字列と共有シークレットを用いたカスタムハンドシェイクが使われ、認証後にボットは自身をBOTとして識別しコマンドを受信します。コマンドハンドラーはハートビート(ping → PONG)、スキャン制御(scan/stopscan)、各種攻撃命令をサポートしています。
アナリストがx86_64サンプルを解析したところ、19種類のDDoS攻撃手法が確認されました。シンプルなUDP/TCPフラッドやSYN攻撃から、増幅攻撃(NTP、memcached)、アプリケーション層攻撃(HTTPStorm、HTTP GET)、プロトコル固有の悪用(Valve Source Engine、Discordボイスフラッド)まで多岐にわたります。
この多様性は、侵害した計算資源をさまざまな攻撃タイプで収益化しようとする攻撃者の意図を如実に示しています。ボットはC2サーバーに最終マジック値として16進数シーケンスFF FF FF FF 75を送信します。
スキャナースクリプトには約22の関数が含まれており、ワーカー、ブラックリスト、Telnet、SSH、HTTPエクスプロイト、ADBエクスプロイトの各グループに整理されています。
ワーカーはターゲットを取得し、ブラックリストと失敗リスト(blacklist.txt、failed.txt)を参照しながら、ポートの探索、サービスのフィンガープリント取得、エクスプロイトの試行を行います。
主なHTTP攻撃ベクターとしては、UPnP SOAPインジェクション(CVE-2021-27137)、GLPI htmLawed RCE(CVE-2022-35914)、複数のDVRおよびルーターへのコマンドインジェクション、AVTECH脆弱性(CVE-2025-34054を含む)、NVMS-9000の欠陥、Zyxel SysTools RCEが挙げられます。
さらにスキャナーは、露出したADBインスタンスを悪用し、脆弱な認証情報リストを用いてwget/curlによる取得と実行のフローを通じてアーキテクチャに対応したバイナリをインストールします。
運用上の変化も注目に値します。スキャン機能を容易に更新可能なPythonモジュールとして分離したことで、新たなエクスプロイトやターゲットへの適応コストが大幅に下がっています。また、マルチアーキテクチャ対応のビルドにより、ボットネットが感染できるデバイスの範囲が大きく拡大しています。
防御担当者は、影響を受けるDD-WRTのイメージおよびリストに掲載されたCVEに関連するベンダーファームウェアへのパッチ適用を優先してください。不要なUPnPおよびTelnetサービスを無効化し、可能な限り強力な認証情報と多要素認証を導入してください。また、自動スキャンを示す通信パターンや既知のC2ホスト(85[.]215[.]131[.]70および217[.]160[.]125[.]125)への接続を示す外部通信を継続的に監視することが重要です。
IOC(侵害の痕跡)
ホスト
217[.]160[.]125[.]125:15527.
176[.]100[.]37[.]91.
85[.]215[.]131[.]70.
ファイル
444a9d34a9f59dc7975dfabefb47d789813a4497bbac9127c4806dd816e85211.
9394666007fac4014a4641fdae150c1b969ed2bc4299876318a336fd386abf59.
450ea44da0c9d96a2e8f4d6bad34f1c35cd35743295b8cd2defa9f7a9884685d.
d452f22dacab9785539484245c13e9cce58df23fc82eeef205684fcd196da20b.
20042f1efb59c99e3addf822a3e9e5a496f0b701362df038a50a32a9f504a136.
7413cbb6eab4d6b10346f71be5dd76d7cf2f4817f7776367b162f83755aefa1f.
b6f835ced11059d341222eba11fff3a4672f4de47a3a4d791fad86059a2b06d4.
b61a5508847a2167b737d31193dc393e92c5be2aa5141bbe4b7ea6f440fd4799.
dff0edae6e8854ddd3e617054ee0bd74c696c91411f704dff60aabaec839bec9.
ea44138b9701fce1b2fe13de8f9e00681c007c9adc625edc9f507f177704c2e8.
3ddb67ab079509dd1e7ac77fc4cfed25a271526668c68f8a2221e96a4cc21812.
f02b1d8010dac35b007796def0cbd5d0c9414df790e2b55b105c95df2f2ffa91.
8fc2d35b66c692d37a85ae9d30dc5c7f06f0b3eaf01112a5a6398a1a0feb3aee.
eead44c0af7ddb12cece1a6125cf213bab3c22511cd59aff9d63dcfddb7d4386.
eead44c0af7ddb12cece1a6125cf213bab3c22511cd59aff9d63dcfddb7d4386.
41e8e327abbf2ba721be677ad8a416a7295708257b39688a0af03275fb199cec.
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム上でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/gafgyt-variant-targets-linux/
