Miraiベースの新たなボットネットマルウェア「ShadowV2」が、既知の脆弱性を悪用してD-Link、TP-Linkなど複数ベンダーのIoTデバイスを標的にしていることが確認されました。
FortinetのFortiGuard Labsの研究者は、この活動を大規模な2024年10月のAWS障害の最中に観測しました。両者に直接の関連はないものの、ボットネットは障害発生中の期間にのみ活動しており、テスト運用だった可能性が示唆されます。
ShadowV2は、複数のIoT製品に存在する少なくとも8件の脆弱性を悪用して拡散しました。
- DD-WRT(CVE-2009-2765)
- D-Link(CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915)
- DigiEver(CVE-2023-52163)
- TBK(CVE-2024-3721)
- TP-Link(CVE-2024-53375)
これらの欠陥のうち、CVE-2024-10914は、サポート終了(EoL)のD-Linkデバイスに影響する既に悪用が確認されているコマンドインジェクションの脆弱性であり、ベンダーはこれを修正しないと発表しています。
CVE-2024-10915については、2024年11月に公開されたNetSecFishのレポートが存在するものの、当初BleepingComputerはベンダーによるアドバイザリを確認できませんでした。同社に問い合わせたところ、影響を受けるモデルについては問題を修正しないとの回答を得ました。
D-Linkは、特定のCVE-IDを追記する形で古いセキュリティ告知を更新するとともに、ShadowV2キャンペーンに言及した新たな告知を公開し、サポート終了(EoL)またはサポート打ち切り(EoS)のデバイスは今後開発が行われず、ファームウェアアップデートも提供されないことをユーザーに警告しました。
2024年11月に詳細が公開されたCVE-2024-53375については、ベータ版ファームウェアのアップデートによって修正されたと報告されています。
出典: Fortinet
FortiGuard Labsの研究者によると、ShadowV2による攻撃は198[.]199[.]72[.]27から発信されており、ルーター、NASデバイス、DVRを標的として、政府、テクノロジー、製造、マネージドセキュリティサービスプロバイダー(MSSP)、通信、教育など7つのセクターにまたがって攻撃が行われました。
影響は世界規模に及び、北米・南米、欧州、アフリカ、アジア、オーストラリアで攻撃が観測されています。
出典: Fortinet
マルウェアは自らを「ShadowV2 Build v1.0.0 IoT version」と名乗り、Mirai LZRD亜種と類似していると、研究者らは述べており、ShadowV2の動作に関する技術的な詳細をレポートで公開しています。
このマルウェアは、ダウンローダースクリプト(binary.sh)を用いた初期アクセス段階を通じて脆弱なデバイスに配布され、81[.]88[.]18[.]108上のサーバーから取得されます。
出典: Fortinet
ファイルシステムパス、User-Agent文字列、HTTPヘッダー、Mirai系の文字列などの設定には、XORエンコードが用いられています。
機能面では、UDP、TCP、HTTPプロトコルに対する分散型サービス拒否(DDoS)攻撃をサポートしており、それぞれに複数のフラッド手法が用意されています。コマンド&コントロール(C2)インフラストラクチャは、ボットに送信するコマンドを通じてこれらの攻撃をトリガーします。
出典: Fortinet
一般的に、DDoSボットネットは、その攻撃能力をサイバー犯罪者に貸し出したり、攻撃の停止と引き換えに標的を直接恐喝したりすることで金銭を得ます。しかし、ShadowV2の背後にいる人物や、そのマネタイズ戦略については、現時点では判明していません。
Fortinetは、この新たな脅威の特定に役立つ侵害指標(IoC)をレポートの末尾で共有するとともに、IoTデバイスのファームウェアを最新の状態に保つことの重要性を警告しています。
