GafgytボットネットのC0XMOとして追跡されている新たな亜種が、複数のLinuxアーキテクチャにわたって急速に感染を拡大させています。
今年初めに発見されたこのマルウェアは、特定のDD-WRTルーターのUPnPサービスに存在するスタックバッファオーバーフロー脆弱性CVE-2021-27137を悪用してシステムへ最初に侵入します。
攻撃者はUDPポート1900を通じて特別に細工したM-SEARCHリクエストを送信することでバッファオーバーフローを引き起こし、一次ペイロードを侵害されたホストの一時キャッシュに直接ダウンロードさせます。
侵害されたホスト上でC0XMOが実行されると、長期的な生存を確保するため、直ちに深い永続性を確立します。
システム全体に複数の隠しディレクトリを作成し、自身をそれらの場所にコピーした上で、実行権限を保証するためにファイルのパーミッションを変更します。
さらに、定期的なcronジョブを設定したり、ユーザーのbashプロファイルなどのシェルプロファイルファイルに実行コマンドを追記したりすることで、システムへの定着をより強固なものにします。
C0XMOは自身の活動に最大限のシステムリソースを確保するため、競合するマルウェアを積極的に探し出して排除します。
アクティブなシステムプロセスを内部のブロックリストと照合し、競合するボットネット、ネットワークサービスアプリケーション、一般的なレッドチームツールをスキャンします。
一致するプロセスが見つかれば、C0XMOは即座にそれを強制終了します。競合する実行可能ファイルや、競合するinitスクリプト・システムサービスなどの永続化メカニズムも積極的に削除します。
ホストへの接続確立後、マルウェアは特定の16進数マジック値を使用してコマンド&コントロール(C2)サーバーとカスタムハンドシェイクを確立します。
これにより、ボットネットノードは19種類の異なる分散型サービス妨害(DDoS)攻撃を仕掛ける準備が整います。
攻撃手法は、標準的なTCPおよびUDPバイパスフラッドから、Memcached増幅攻撃、Discord音声UDPフラッド、複雑なHTTPリクエストストームなど、より特殊な攻撃まで多岐にわたります。
フォーティネットの調査によると、C0XMOの最も注目すべき機能は、横方向への移動(ラテラルムーブメント)を実現する独立したPythonベースのスキャナーです。
一次マルウェアはこのスクリプトをリモートサーバーから取得し、requestsやparamikoなどの必要なネットワークパッケージを強制的にインストールします。
このスキャナーは複数のワーカースレッドを活用して新たな標的を特定・侵害しつつ、内部のブロックリストを参照することで、既知のハニーポットや研究機関のスキャンを意図的に回避します。
スキャナーは、SSHおよびTelnetサービスへの弱い認証情報によるブルートフォース攻撃と、多数のHTTPベースの自動エクスプロイトを組み合わせて使用します。
初期アクセスには複数の既知の脆弱性が積極的に利用されており、HNAP SOAPインジェクション、GLPI htmLawedのリモートコード実行(RCE)、AVTECH DVRの脆弱性などが含まれます。
さらに、Android Debug Bridgeの不正アクセス脆弱性も積極的に悪用し、外部に露出しているモバイルデバイスやIoTデバイスへの侵害を試みます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的に無害化(例:[.])されています。元の表記への復元は、MISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム上でのみ行ってください。
翻訳元: https://cyberpress.org/gafgyt-targets-linux-architectures/
