出典: Sleepyfellow via Alamy Stock Photo
2つの別々のMiraiボットネットキャンペーンが、やや意外なターゲットの重大な脆弱性を悪用しています。
Akamaiセキュリティインテリジェンスおよびレスポンスチームは最近、オープンソースのWazuhサイバーセキュリティプラットフォームにおけるリモートコード実行の脆弱性であるCVE-2025-24016の悪用を観測しました。この脆弱性は、プラットフォームのバージョン4.4.0から4.9.1に影響を与える安全でないデシリアライズの問題に起因し、9.9のCVSSスコアが付けられています。
CVE-2025-24016は2月10日に公表され、その月の後半にGitHubで概念実証(PoC)エクスプロイトが公開されました。Akamaiの研究者たちは、3月初旬から悪用活動を観測しました。
「これは、ボットネット運営者が新たに公表されたCVEに対して採用している、ますます短縮される悪用までの時間の最新の例です」と、Akamaiの研究者Kyle LeftonとDaniel Messingは6月9日のブログ投稿で書いています。
研究チームは後に、この悪用活動を悪名高いMiraiボットネットのバリアントを含む2つのキャンペーンに追跡しました。
さらに広がるMiraiの混乱
Miraiボットネットは、ほぼ10年間にわたり高出力の分散型サービス拒否(DDoS)攻撃で混乱を引き起こしています。オリジナルのMiraiマルウェアは、若いハッカーグループによって2016年に開発され、人気のあるビデオゲームMinecraftを実行するサーバーに対してDDoS攻撃を仕掛けるために使用されました。
関連:Stealth Falcon APTが中東でMicrosoft RCEゼロデイを悪用
しかし、IoTボットネットマルウェアの開発者はソースコードを公に公開し、他の脅威アクターやサイバー犯罪グループが独自のボットネットを作成できるようにしました。それが、当時としては前例のないトラフィック量で重要なターゲットに対する壊滅的なDDoS攻撃の一連の始まりとなりました。
ほぼ10年後、Miraiバリアントを使用するIoTボットネットは世界中で問題を引き起こし続けています。しかし、最新のキャンペーンでは、ボットネットは新たなターゲットを持っています。
Wazuhサーバーをターゲットにした最初のキャンペーンは、LZRD Miraiバリアントを含み、3月初旬に悪用活動が始まりました。「Miraiでよく見られる平均的なシェルスクリプトと同様に、主にIoTデバイスをターゲットにするためにさまざまなアーキテクチャをサポートしています」と、LeftonとMessingは書いています。
しかし、ほとんどのMiraiボットネットが弱いセキュリティ保護を持つIoTおよび接続された消費者デバイスをターゲットにするのとは異なり、このキャンペーンはサイバーセキュリティプラットフォームもターゲットにしました。
研究者たちが「Resbot」と名付けた2番目のボットネットキャンペーンは、5月に続きました。他のMiraiバリアントと同様に、脆弱なWazuhインスタンスを悪用し、幅広いIoTアーキテクチャをターゲットにするペイロードを持っています。
しかし、Akamaiの研究者たちは、2つのキャンペーンの間に2つの顕著な違いを発見しました。最初の波の悪用試行はCVE-2025-24016のPoCと同一のコードを特徴としていましたが、Resbotキャンペーンは”/security/user/authenticate/run_as”エンドポイントの代わりにエンドポイント”/Wazuh”をターゲットにした異なるコードを使用しました。
関連:United Natural Foodの運営がサイバーセキュリティインシデントで停滞
さらに、研究者たちはイタリア語を話す脅威アクターを示唆する手がかりを発見しました。「このボットネットに関連する言語で興味深いことの一つは、イタリア語の命名法を持つさまざまなドメインを使用してマルウェアを拡散していたことです」と彼らは書いています。「例えば、’gestisciweb.com‘は、’ウェブを管理する’と大まかに翻訳されます。」
Akamaiは、どちらのキャンペーンも特定の脅威アクターやグループに帰属していませんが、研究者たちは2つのキャンペーンが無関係であると考えています。LeftonはDark Readingへのメールで、ボットネット運営者は機会主義的であり、これは一つのキャンペーンが公開された概念実証を利用し、もう一つのキャンペーンが最初のものを模倣している可能性があると述べました。
「2番目のボットネット(Resbot)が今年初めに最初のものが行った悪用機能を見た可能性があります」と彼は書いています。「脆弱性は何ヶ月も公開されているので、複数のボットネットが互いに調整せずにそれを採用することが可能です。」
さらに、ボットネット運営者はIoT製品の脆弱性だけでなく、幅広い脆弱性をターゲットにすることがよくあります。Leftonによれば、過去にはMiraiのいくつかのバリアントが他の種類のデバイスやソフトウェアの脆弱性を悪用しており、例えばV3G4ボットネットは、Atlassian ConfluenceやUnix系システム用のWebベースのサーバーコントロールパネルであるWebminの脆弱性をターゲットにしています。
Leftonは、以前のMiraiバリアントがサイバーセキュリティ製品の脆弱性をターゲットにした可能性があると書いていますが、彼はその例を知りません。
PoCの問題
サイバーセキュリティおよびインフラストラクチャセキュリティ庁は、CVE-2025-24016を6月9日に既知の悪用された脆弱性カタログに追加しました。キャンペーンはMiraiバリアントの継続的な普及を示していますが、ボットネットはまた、既知の脆弱性のPoCを公にリリースするリスクも示しています、とLeftonとMessingは述べています。
「CVEプログラムは業界にとって全体的に純利益ですが、悪意のあるアクターによって見過ごされていたかもしれない脆弱性に光を当てることで、時には両刃の剣になることがあります」と彼らは書いています。「研究者たちがPoCを作成して脆弱性の重要性を組織に教育しようとする試みは、リリースされたパッチを迅速に適用することの重要性を示す結果をもたらし続けています。」
Akamaiは組織に対して、Wazuhバージョン4.9.1以降にアップグレードするよう促しました。研究者たちはまた、ボットネット運営者が公の脆弱性開示を注視し、利用可能になるPoCコードを迅速に武器化するため、すべての組織にとって迅速なパッチ適用が優先されるべきであると警告しました。