Broadside(ブロードサイド)と名付けられた新たに発見された Mirai ボットネット亜種が、海運ネットワークを積極的に侵害しており、重大な DVR の脆弱性を悪用して商業船舶上へのステルス性と永続性の高いアクセスを獲得しています。
この攻撃は「…システムの認証情報ファイルを収集しようとする」と、Cydome の研究者は述べています。
海事 OT に対する新たなクラスのボットネット脅威
Broadside は、現代のボットネットの手口における大きな進化を示しています。単に DDoS 活動のみに注力するのではなく、このマルウェアは認証情報の窃取、プロセス操作、メモリ上での実行、ラテラルムーブメント(横方向移動)を組み込んでおり、船上のオペレーショナル・テクノロジー(OT)を直接脅かす機能を備えています。
Cydome の調査によると、攻撃は 2025 年後半から増加し始め、現在では貨物船や物流船に広く設置されている TBK 製 DVR デバイスのコマンドインジェクション脆弱性である CVE-2024-3721 を悪用しています。
海事ネットワークはしばしばフラットなアーキテクチャと限られた衛星通信に依存しているため、永続性・ステルス性・デバイス間のピボット能力を備えたボットネットは、従来型マルウェアの流行をはるかに超えるリスクをもたらします。
侵害された DVR は、ブリッジ、機関室、貨物倉の監視を担っていることが多く、攻撃者にとって非常に価値の高い侵入ポイントとなります。
Broadside 攻撃チェーンの内部
攻撃チェーンは、脆弱な TBK DVR システムの /device.rsp エンドポイントに対する悪意ある HTTP POST リクエストから始まります。
これにより攻撃者はローダースクリプトを展開でき、ARM、MIPS、x86、PowerPC など複数アーキテクチャ向けにコンパイルされた Broadside バイナリをインストールします。
一度起動すると、このマルウェアは即座に自らをディスクから削除し、完全にメモリ上で動作することで、従来のファイルベース検知を回避します。
Broadside は、柔軟な回避を目的とした二重モードのステルスエンジンをはじめ、従来の Mirai 系統では見られなかった高度な機能をいくつも導入しています。
スマートモード(Smart Mode)では、マルウェアは Netlink カーネルソケットを利用してリアルタイムのプロセス通知を受信しつつ、システムリソースの消費を最小限に抑えます。
カーネルの制限によりこの挙動が妨げられる場合は、パニックモード(Panic Mode)が有効化され、状況認識と永続性を維持するために 0.1 秒ごとに /proc ディレクトリを積極的にスキャンします。
Broadside には強力なプロセスキルモジュールも組み込まれており、内部的には「裁判官、陪審員、そして死刑執行人(Judge, Jury, and Executioner)」と呼ばれています。これはメモリ上の許可リストおよびブロックリストを用いて、競合するマルウェア、不審なプロセス、あるいはセキュリティツールを強制終了します。
ステルス性と抑圧機能に加え、このマルウェアは認証情報の窃取およびラテラルムーブメントもサポートします。
初期化の際には /etc/passwd と /etc/shadow へのアクセスを試み、攻撃者に権限昇格や他の船上システムへのピボットの機会を与えます。
最後に、Broadside はカスタムのコマンド&コントロール(C2)プロトコルを採用しており、すべての C2 パケットにハードコードされたマジックヘッダー(0x36694201)が含まれていることが特徴です。
このシグネチャにより、ボットネットは標準的な Mirai 検知ヒューリスティクスを回避しつつ、堅牢で秘匿性の高い通信チャネルを維持します。
一度 C2 接続が確立されると、Broadside は高レートの UDP フラッド攻撃を開始し、ランダム化された送信元ポートとポリモーフィックなペイロードを持つソケットを開きます。
これらの攻撃は、船舶が依存する限られた衛星帯域を飽和させ、通信を妨害し、船上の監視システムを麻痺させる可能性があります。
Broadside Mirai 脅威に対する重要な防御策
Broadside Mirai 亜種は、見落とされがちで可視性の低いデバイス、特に海事向け DVR や CCTV システムが、攻撃者にとって高インパクトな侵入ポイントになり得ることを浮き彫りにしています。
この脅威に対抗するには、船上および陸上の両方の環境において、ネットワークアーキテクチャとデバイスレベルのセキュリティを強化する必要があります。
- パッチ適用または脆弱な TBK DVR システムの交換を行い、とりわけインターネットに公開されている、あるいは船上ネットワークから到達可能なものを優先してください。
- 海事 OT ネットワークをセグメント化し、CCTV や DVR など周辺デバイスからのピボットを防止します。
- Broadside の C2 インジケーター向けに調整されたネットワーク監視を導入し、カスタムマジックヘッダーや異常な UDP バーストを検知できるようにします。
- 組み込み型のLinuxデバイスを強化し、公開サービスを最小限に抑え、強固な認証情報を用い、可能な限り読み取り専用ファイルシステムを採用します。
- 異常検知を実装し、予期しないカーネルソケットの利用、高頻度な /proc ディレクトリのポーリング、あるいはメモリ常駐型バイナリを検出します。
- DVR およびカメラインフラを監査し、既知の Broadside インフラに関連する不正なプロセスや外向き接続がないか確認します。
これらの対策を講じることで、海運事業者はサイバー・レジリエンスを強化し、Broadside のような脅威に対する攻撃経路を制限できます。
Broadside の出現は、脅威情勢における重大な転換点を示しています。ボットネットはもはや単なるボリューム型 DDoS エンジンではなく、海事 OT のような特殊な環境向けに調整された、高度で多段階の侵入フレームワークへと進化しつつあります。
この進化は、レガシーなマルウェアファミリーを、永続性・ステルス性・運用妨害を目的としたモジュール型で適応性の高いエコシステムへと変貌させる、攻撃者側の広範なトレンドを反映しています。
デジタル化が海運業界全体で加速し、船舶が IP 接続された OT システムにますます依存するにつれ、海事セクターはサイバー犯罪ボットネット運営者や国家主体の双方にとって魅力的な標的となっています。
攻撃がより適応的かつ標的型になる状況において、これらのトレンドは、侵害を前提とし、すべてのシステムとユーザーに対して厳格かつ継続的な検証を行うゼロトラストの採用が必要であることを強く示しています。
翻訳元: https://www.esecurityplanet.com/threats/broadside-mirai-botnet-hijacks-ship-cameras-for-ddos/
