Miraiベースのボットネット「ShadowV2」は、昨年10月に発生した大規模なAWS障害の最中に出現し、業界や大陸をまたいでIoTデバイスに感染しました。これは今後の攻撃に向けた「試運転」であった可能性が高いと、FortinetのFortiGuard Labsは述べています。
脆弱な機器に感染してIoTデバイスのゾンビ軍団を形成した後、ShadowV2のMirai亜種は、攻撃者が機器ネットワークを遠隔操作し、大規模な攻撃を実行できるようにします。これには、分散型サービス妨害(DDoS)によるトラフィック洪水攻撃などが含まれます。
幸いなことに、このマルウェアが活動していたのは、主要なウェブサイトも数時間にわたりダウンさせた1日規模の障害の間だけでした。
その間、ShadowV2は複数ベンダーのデバイスに影響するいくつかの脆弱性を悪用して拡散しました。対象にはDD-WRT(CVE-2009-2765)、D-Link(CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915)、DigiEver(CVE-2023-52163)、TBK(CVE-2024-3721)、TP-Link(CVE-2024-53375)などが含まれると、アンチウイルスアナリストのVincent Liは水曜日のブログ投稿で述べています。
クラウドネイティブなボットネットであるShadowV2は、以前にも9月のキャンペーンでAWS EC2を標的にしていましたが、今回のより新しいボット構築活動では、テクノロジー、小売・ホスピタリティ、製造、マネージドセキュリティサービスプロバイダー、政府、通信・キャリアサービス、教育など、複数のセクターに影響を与えました。また、カナダ、米国、メキシコ、ブラジル、ボリビア、チリ、英国、オランダ、ベルギー、フランス、チェコ、オーストリア、イタリア、クロアチア、ギリシャ、モロッコ、エジプト、南アフリカ、トルコ、サウジアラビア、ロシア、カザフスタン、中国、タイ、日本、台湾、フィリピン、オーストラリアの28か国が被害を受けました。
このボットネットによって何台のデバイスが感染したのか、Fortinetに問い合わせており、回答が得られ次第この記事を更新します。
同社はブログ投稿の中で、攻撃者はデバイスの脆弱性を悪用してダウンローダースクリプト(binary.sh)を投下し、その後、81[.]88[.]18[.]108から「shadow」という接頭辞が付いたバイナリを用いてShadowV2マルウェアを配布すると説明しています。
これはLZRD Mirai亜種と似ており、XORでエンコードされた設定を初期化した後、コマンド&コントロールサーバーに接続してコマンドを受信し、DDoS攻撃を開始します。
しかし実行時には、次の文字列を表示します:ShadowV2 Build v1.0.0 IoT version。「この文字列に基づき、これはIoTデバイス向けに開発されたShadowV2の最初のバージョンである可能性があると評価しています」とLiは記しています。
このIoT感染型マルウェアの活動は、これまでのところAWS障害中に限られていますが、ボットネットの出現は、IoTデバイスのセキュリティ確保、ファームウェアの更新、異常でスパム的なネットワークトラフィックの監視を怠らないようにする良い注意喚起となります。Fortinetは侵害の痕跡(IoC)の包括的なリストも公開しているため、脅威ハンティングの支援として必ず確認しておきましょう。Liが指摘するように、「ShadowV2は、IoTデバイスが依然としてサイバーセキュリティ全体の中で弱点であることを明らかにしています。」
ShadowV2の試運転から間もなく、MicrosoftはAzureが「史上最大規模」のクラウドベースDDoS攻撃を受けたと発表しました。この攻撃はAisuruボットネットを発信源とし、15.72テラビット毎秒(Tbps)に達しました。
Windows大手のクラウドDDoS保護サービスは、10月24日に毎秒約36億4,000万パケットというトラフィックの津波を緩和し、Microsoftによれば、顧客のワークロードでサービス中断は一切発生しなかったとのことです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/26/miraibased_botnet_shadowv2/
