サイバーセキュリティ研究者たちは、主にゲーム業界を標的とし、中国の技術企業や教育機関にも影響を及ぼしている新しいボットネットマルウェアHTTPBotに注目を呼びかけています。
「過去数ヶ月間で、このボットネットは積極的に拡大し、感染したデバイスを利用して外部攻撃を継続的に行っています」と、NSFOCUSは今週発表したレポートで述べています。「高度にシミュレートされたHTTPフラッド攻撃と動的な特徴難読化技術を使用することで、従来のルールベースの検出メカニズムを回避します。」
HTTPBotは、2024年8月に初めて野生で発見され、HTTPプロトコルを使用して分散型サービス拒否攻撃を行うことからその名が付けられました。Golangで書かれており、Windowsシステムを標的としている点で異例です。
Windowsベースのボットネットトロイの木馬は、ゲームのログインや支払いシステムなどの高価値なビジネスインターフェースを正確に狙った攻撃に使用されている点で注目に値します。
「この『メスのような』精密な攻撃は、リアルタイムの相互作用に依存する業界に対して体系的な脅威をもたらします」と、北京に本社を置く会社は述べています。「HTTPBotは、DDoS攻撃におけるパラダイムシフトを示しており、『無差別なトラフィック抑制』から『高精度なビジネス絞殺』へと移行しています。」
HTTPBotは、2025年4月の初めから200以上の攻撃指示を発行したと推定されており、これらの攻撃はゲーム業界、技術企業、教育機関、観光ポータルを狙っています。
インストールされ実行されると、マルウェアはそのグラフィカルユーザーインターフェース(GUI)を隠し、ユーザーやセキュリティツールによるプロセス監視を回避して攻撃のステルス性を高めます。また、システム起動時に自動的に実行されるようにするために、許可されていないWindowsレジストリ操作を行います。
その後、ボットネットマルウェアはコマンド・アンド・コントロール(C2)サーバーとの接触を確立し、特定のターゲットに対してHTTPフラッド攻撃を実行するためのさらなる指示を待ちます。高いボリュームのHTTPリクエストを送信することにより、さまざまな攻撃モジュールをサポートします –
- BrowserAttack、これは隠されたGoogle Chromeインスタンスを使用して正当なトラフィックを模倣しながらサーバーリソースを消耗させるもの
- HttpAutoAttack、これはクッキーに基づくアプローチを使用して正当なセッションを正確にシミュレートするもの
- HttpFpDlAttack、これはHTTP/2プロトコルを使用し、大きなレスポンスを返すようにサーバーを強制してCPU負荷を増加させるアプローチを選択するもの
- WebSocketAttack、これは「ws://」および「wss://」プロトコルを使用してWebSocket接続を確立するもの
- PostAttack、これはHTTP POSTを使用して攻撃を実行することを強制するもの
- CookieAttack、これはBrowserAttack攻撃方法に基づいたクッキー処理フローを追加するもの
「DDoSボットネットファミリーはLinuxやIoTプラットフォームに集まりがちです」とNSFOCUSは述べています。「しかし、HTTPBotボットネットファミリーは特にWindowsプラットフォームを標的としています。」
「プロトコル層を深くシミュレートし、正当なブラウザの動作を模倣することで、HTTPBotはプロトコルの完全性に依存する防御を回避します。また、ランダム化されたURLパスとクッキー補充メカニズムを通じてサーバーセッションリソースを継続的に占有し、単なるトラフィック量に依存しません。」
翻訳元: https://thehackernews.com/2025/05/new-httpbot-botnet-launches-200.html