家庭用ルーターは、所有者がほとんど意識しないまま、長年にわたって密かな役割を担ってきました。脆弱なエッジデバイスは、気づかぬうちに大規模なサイバー攻撃の一翼を担う存在へと変貌する可能性があります。こうした状況を受け、FortinetのセキュリティアナリストがGafgytボットネットの新たな亜種を発見しました。この悪性株は正式にC0XMOと命名されています。注目すべき点として、脅威アクターはDD-WRTファームウェアに存在するバッファオーバーフロー脆弱性CVE-2021-27137を悪用しています。この構造的欠陥により、認証なしでリモートから任意のコードを容易に実行することが可能です。
マルチアーキテクチャへの拡散と実地悪用
調査の結果、C0XMOが日本の著名なテクノロジー企業を標的にしていたことがすでに確認されています。興味深いことに、発信元のネットワークテレメトリはドイツに設置された侵害済みノードを指し示していました。また、このマルウェアはDD-WRTルーターにとどまらず、はるかに広範なデバイスを標的としています。発見されたバイナリは、ARM、MIPS、PowerPC、SuperH、x86、x86_64など多様なコンピューティング環境にネイティブ対応しています。さらに、デジタルビデオレコーダー、映像管理プラットフォーム、Androidハードウェアを侵害するための専用ペイロードも含まれています。
モジュール型アーキテクチャと拡散ベクター
C0XMOの最大の特徴は、高度にモジュール化された構造にあります。これにより、オペレーターはコアのペイロードを書き直すことなく、感染ベクターや標的アーキテクチャを独立して変更したり、横展開のルーティンを拡張したりすることができます。最初の侵入後、ボットネットは次の標的を探すためのカスタマイズされたPythonスクリプトを展開します。
このスクリプトはまずホストシステムに必要な依存関係をインストールします。続いて、SSH、Telnet、HTTP、HTTPSといった開放ポートを求めてインターネット上を積極的にスキャンします。その後、脆弱な管理者認証情報を突くブルートフォース攻撃を開始します。アクセスの確保に成功すると、マルウェアはプロセッサ構成を評価し、対応するC0XMOバイナリを取得します。
永続化メカニズムと防御回避
侵害したホストに定着すると、C0XMOは隠しテンポラリリポジトリ内に痕跡を隠蔽します。さらに、15分ごとにシステム検証チェックを強制するcronタスクを設定します。また、起動時のコアシェルスクリプトを書き換え、永続的な駐留を確保します。
続いて、マルウェアは環境内で競合するボットネット、防御テストツール、または競合するネットワークサービスをスキャンします。それらのファイルと永続化キーを迅速に削除し、完全な支配を確立します。最後に、ハードコードされたコマンド&コントロールサーバーへの持続的な接続を確立し、さらなる指示を待ちます。
攻撃能力と対策
C0XMOは19種類の分散型サービス拒否(DDoS)攻撃手法をサポートする強力な攻撃能力を備えています。その手法には、UDP、TCP、SYN、ICMPフラッドに加え、NTPやMemcachedを利用した増幅攻撃が含まれます。こうした境界リスクを軽減するため、Fortinetはファームウェアの即時更新を推奨しています。加えて、管理者は強固で固有の認証情報を導入し、外部からの管理アクセスを恒久的に無効化することが求められます。
翻訳元: https://meterpreter.org/c0xmo-gafgyt-botnet-variant/
