新たに特定されたAndroidボットネットが180万台以上のデバイスに感染しており、大規模な分散型サービス妨害(DDoS)攻撃を仕掛けることができると、中国のサイバーセキュリティ企業XLabが警告している。
Kimwolfと名付けられたこのボットネットは、プロキシ転送、リバースシェル、ファイル管理の機能を備えている。
この脅威は、最近、記録破りの29.7TbpsのDDoS攻撃の原因とされたTurboMirai系IoTボットネットAisuruと関連しているようだ。
XLabによると、Kimwolfは主にトラフィックのプロキシ化に注力しているが、11月19日から22日の間に17億件を超えるDDoS攻撃コマンドを発行しているのが観測された。
これにより、そのコマンド&コントロール(C&C)ドメインである14emeliaterracewestroxburyma02132[.]suは、Cloudflareの世界的なドメイン人気ランキングで首位に押し上げられ、google.comを上回った。
同社によれば、このマルウェアはDNS over TLS(DoT)プロトコルを用いてDNSリクエストをカプセル化し、検知を回避するほか、署名検証メカニズムを使用して通信指示を検証する。
Kimwolfは主に、家庭用ネットワークに設置されたAndroid TVのセットトップボックスに感染し、取り込まれたデバイスは220以上の国・地域に分布している。
動的IP割り当ての仕組みと感染デバイスの世界的な拡散により、ボットネットの実際の規模は不明だ。
XLabによると、このボットネットに関連するC&Cドメインは、少なくとも3回、第三者によってテイクダウンされており、その結果、開発者はENS(Ethereum Name Service)ドメインを用いてインフラを強化せざるを得なくなったという。
同社は、このボットネットが少なくとも2件の大規模DDoS攻撃に関与したとみており、その中には今月初めに指摘された30Tbps近い事案も含まれるとしている。
最近の複数の大規模DDoS攻撃はAisuruによるものとされているが、XLabは、これらの事案ではKimwolfが主導的なボットネットだった可能性があると考えている。
「直接測定することはできないものの、2件の大規模DDoS事象の観測とAisuruとの横断的な比較を通じて、Kimwolfの攻撃能力は30Tbpsに近いと考えている」とXLabは述べている。
この中国企業は、10月以降に収集した複数のKimwolfサンプルを分析し、Aisuruとの関連、ByteConnect SDKのマネタイズソリューションとのつながり、そしてKimwolfの開発者がコード内に残したサイバーセキュリティ記者ブライアン・クレブスへの複数の言及を明らかにした。
翻訳元: https://www.securityweek.com/kimwolf-android-botnet-ensnares-1-8-million-devices/
