新種のIoTボットネット、1,496種類のデフォルトパスワードと7つの永続化手法を使用

セキュリティ研究者らが、インターネットに露出したデバイスを侵害し、長期的なアクセスを維持したうえで分散型サービス拒否(DDoS)攻撃を仕掛けるために構築されたモジュール式IoTボットネットフレームワーク「TuxBot v3 Evolution」を発見しました。

このマルウェアは幅広いLinuxベースのシステムを標的とし、Telnet認証情報のブルートフォース攻撃、スキャンモジュール、暗号化されたコマンド&コントロール(C2)通信、そして複数の耐障害性機能を備えています。

このボットネットには、工場出荷時のままか、あるいは使い回されがちな認証情報を使い続けているデバイスを狙った1,496組のユーザー名とパスワードの組み合わせが仕込まれています。

Telnetスキャナーは実際に稼働しており、露出したシステムに対してログインを試行できるため、セキュリティ対策が不十分なルーター、DVR、カメラなどのIoT製品が大きなリスクにさらされています。

TuxBotはARM、MIPS、x86-64、PowerPC、RISC-V、SPARCなどを含む17種類のプロセッサアーキテクチャ向けにコンパイルされています。

この幅広いアーキテクチャ対応により、攻撃者は多様な組み込みデバイスやLinux環境に対して同一のフレームワークを展開できます。

このボットは、侵害したシステム上で「Infected By Akiru」というメッセージを表示することで自らの存在を示します。研究者らは2026年1月にVirusTotalへ提出されたサンプルを発見し、その後さまざまなアーキテクチャ向けの複数の本番ビルドを検出しました。

実行後、TuxBotはプロセスを隠蔽し、永続化を確立したうえでスキャンを開始し、攻撃者が管理するインフラへの接続を試みます。

永続化手法としては、偽装したsystemdサービス、cronジョブ、シェルプロファイルの改変、隠しバックアップ、監視プロセス、ウォッチドッグによる生存確認処理、そしてバイナリをディレクトリ間で定期的に移動させる手法という、7つのアプローチが使われています。

systemdサービスは「sd-pam.service」という名前で設定されており、正規のLinuxサービスの動作に紛れ込むよう工夫されています。

このマルウェアは.bashrc、.profile、.zshrcにコマンドを注入することも可能で、自身を隠しディレクトリにコピーし、ドット始まりのファイル名を使うことで視認性を下げています。

隠蔽のため、このボットはsystemd-udevd、dbus-daemon、cron、sshdなど、一般的なデーモン名20種類のいずれかになりすますことがあります。

さらに、仮想マシン、デバッガー、リバースエンジニアリングツール、パケット解析ソフトウェア、フォレンジックツールを検知する解析対策機能も備えています。

TuxBotの主要なC2通信チャネルは、ビルドに応じてポート1999または31337を使い、暗号化されたTCP通信を利用します。

プロトコルにはX25519鍵交換とChaCha20-Poly1305暗号化が使われており、パケットには0xDEADBEEFというマジックナンバー、ノンス、暗号文、認証タグが含まれています。

このフレームワークには、SHA-512ベースのドメイン生成アルゴリズム(DGA)、DNS TXTクエリ、ピアツーピア型のゴシップ通信、IRC、HTTPポーリングを用いたフォールバック用C2チャネルも含まれています。

解析対象となったバージョンでは、DGA、DNS、ピアツーピアの各機構は正常に動作していましたが、IRCとHTTPのフォールバックチャネルはXOR暗号鍵の不一致により機能していませんでした。

TuxBotには、HTTP GETフラッド、POSTフラッド、Slowloris、Apache Range攻撃、WordPress XML-RPC悪用、Cloudflare回避型攻撃といった、アプリケーション層への攻撃コードも組み込まれています。

ただし、解析されたコードではこれらの機能が正しく連携しておらず、オペレーターがHTTP攻撃を要求しても、代わりにTCP SYNフラッドが発動してしまう場合があります。

注記: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記([.]など)しています。無害化解除は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

より強固な事前防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合

翻訳元: https://cyberpress.org/botnet-exploits-default-passwords/

ソース: cyberpress.org