新たに特定された Mirai ベースの Broadside ボットネットが、TBK Vision 製の脆弱なデジタルビデオレコーダー(DVR)製品を標的としたキャンペーンを展開しており、海上物流セクターに重大な脅威をもたらす可能性があると Cydome は報告している。
Broadside マルウェアは、CVE-2024-3721 の影響を受ける TBK DVR デバイスに感染する。この脆弱性は OS コマンドインジェクションの欠陥であり、リモートから悪用され任意コード実行が可能となる。
ユーザーから提供される入力値の検証が不十分なため、リモートの認証されていない攻撃者が、細工した HTTP リクエストを介して任意のコードを実行できてしまう。
この欠陥は TBK DVR-4104 および DVR-4216 デバイスで特定されたが、TBK のモデルは他社ブランドとしても販売されており、CeNova、HVR Login、Night Owl、Novo、Pulnix、QSee、Securus などの名称でも流通している。
このセキュリティ欠陥は 2024 年 4 月に一般公開され、その時点ですでにそれを標的とする概念実証(PoC)コードが利用可能になっていた。
2025 年半ばまでに、分散型サービス拒否(DDoS)攻撃を実行可能な複数のボットネットが、この欠陥を悪用していた。
Kaspersky は 6 月上旬、インターネットに露出している DVR デバイスが 5 万台以上存在し、中国、インド、エジプト、ウクライナ、ロシア、トルコ、ブラジルで感染が確認されていると述べた。
数週間後、Fortinet は Condi、Fodcha、Mirai、Unstable ボットネットに起因するとみられる悪用試行の急増について警告した。
現在、Cydome によると、Broadside ボットネットもこの攻防に加わり、脆弱なデバイスを標的として、大量のローダースクリプトをデバイスのメモリ上に直接実行しているという。
ローダーは、サポートされるすべてのアーキテクチャを対象としたペイロードの取得と実行を手当たり次第に試み、マルウェアをメモリ上で実行し、ディスク上の痕跡を削除することで検知を回避する。
他の Mirai 派生型と同様に、Broadside ボットネットは UDP フラッディングによる DDoS 機能を備えているが、独自のコマンド&コントロール(C&C)プロトコルを採用し、プロセス監視には Netlink カーネルソケットを使用している。
Cydome はまた、このマルウェアがシステムの認証情報ファイルを収集しようとする挙動も観測しており、侵害されたネットワーク内での横方向移動を目的としている可能性が高いとみている。
さらに Broadside にはプロセスキラーモジュールがあり、特定のパターンに一致するプロセス、チェックに失敗したプロセス、あるいは敵対的と見なされるプロセスを終了させることで、デバイスに対する支配を維持しようとする。
このサイバーセキュリティ企業は、今回の新たなキャンペーンが海運企業にもたらす脅威を強調している。というのも、標的となっている DVR は通常、船舶上で使用されているためだ。
その結果、感染したデバイスは、船橋、貨物倉、機関室の CCTV 映像への盗み見、船舶の衛星通信のフラッディング、あるいは船内の重要な OT システムへの横方向移動に悪用される可能性がある。
翻訳元: https://www.securityweek.com/new-broadside-botnet-poses-risk-to-shipping-companies/
