C0XMOボットネット、DD-WRTルーターの脆弱性を悪用して拡散——競合マルウェアも駆除

C0XMOと呼ばれるGafgytボットネットの新たな亜種が、DD-WRTルーターファームウェアを標的としており、さまざまなCPUアーキテクチャを持つ他のデバイスへも感染を広げることができます。

研究者たちは、ARM、MIPS、PowerPC、SuperH、x86、x86_64など複数のアーキテクチャ向けのサンプルを発見しました。これらのサンプルには、DVR、ルーター、映像管理プラットフォーム、Androidベースのデバイスを狙うエクスプロイトが含まれています。

このボットネットは日本のテクノロジー企業を標的にしていることが確認されましたが、研究者の調査によって、送信元IPアドレスがドイツに所在するデバイスのものであることが判明しました。

Fortineの研究者たちがC0XMOを発見し、そのモジュール式設計を詳しく分析しました。この設計により、オペレーターはメインのペイロードとは独立して、エクスプロイト手法の更新、対象アーキテクチャの追加・削除、横断的移動（ラテラルムーブメント）機能の拡張を行えます。

C0XMOの本質は、分散型サービス拒否（DDoS）攻撃を実行するマルウェアです。UDP/TCP/SYN/ICMPフラッド、「ping of death」、NTP/Memcachedアンプリフィケーション、Discord音声UDPフラッド、Valve固有のフラッドなど、19種類の攻撃手法に対応しています。

研究者によると、C0XMOボットネットのマルウェアはCVE-2021-27137の悪用によって配信されます。これはユーザー入力の検証が不十分なことに起因するバッファオーバーフロー脆弱性で、認証なしに悪用でき、任意のコードの実行につながります。

Gafgytスキャナー

感染拡大を図るため、C0XMOはPythonスクリプトをダウンロードし、「requests」「paramiko」「beautifulsoup4」などの追加パッケージをインストールします。これらはネットワークスキャンや通信、SSHおよびTelnetプロトコルを介した活動に必要なものです。

スキャナーはワーカースレッドを使用し、ポート22（SSH）、23（Telnet）、80/443（HTTP/HTTPS）、7547、8080、8443、8888などの一般的なポートを対象に、インターネットに公開されたシステムをランダムにスキャンします。

標的を発見すると、マルウェアはTelnetおよびSSHの脆弱な認証情報へのブルートフォース攻撃を試み、CPUアーキテクチャを検出した上で、対応するC0XMOのバイナリを展開します。

このスクリプトには、スキャン、HTTPおよびADBベースの脆弱性の悪用、CPUアーキテクチャの検出、SSH/Telnetログイン、IPアドレスの確認など、さまざまなタスクに対応する約20種類の関数が含まれています。主な目的はネットワーク内での横断的移動です。

デバイスへのアクセスを確立すると、マルウェアは「/tmp/.sys」「/var/tmp/.sys」「/dev/shm/.sys」などの隠しディレクトリに自身をコピーし、15分ごとに再起動するcronジョブを作成します。さらに、シェルのスタートアップファイルを改ざんして自動実行を有効にします。

さらにC0XMOは、実行中のプロセスを積極的にスキャンし、ホスト上の競合ボットネットのクライアントや、自身の動作を妨げる可能性のあるレッドチームツール、プログラミングツール、ネットワークサービスを特定して強制終了します。

具体的には、競合バイナリを削除し、cronジョブ、initスクリプト、システムサービス、シェルプロファイルエントリなどの永続化メカニズムを除去します。

その後、マジックストリングと共有シークレットを含むカスタムの多段階ハンドシェイクを使用して、ハードコードされたコマンド＆コントロール（C2）アドレスに接続し、命令を待ち受けます。

サポートされるコマンドには、ハートビートチェック、スキャンの開始・停止、19種類のサポートされた攻撃手法のいずれかを使用したDDoS攻撃の起動などが含まれます。

C0XMOをはじめとするボットネットマルウェアへの対策として、デバイスを常に最新の状態に保つこと、固有の管理者認証情報を使用すること、不要な場合はリモートアクセス機能を無効化することが推奨されています。

Fortineは、C0XMOは「初期のIoTボットネットと比較して、はるかに高度なアーキテクチャと機能セットを備えている」と評しています。

研究者たちは、このマルウェアの全体的な設計は「典型的なGafgytマルウェアよりも高度な運用上の洗練度と複雑さを示している」と指摘しています。