米国の大手インターネットサービスプロバイダーは、過去4カ月にわたりKimwolfおよびAisuruボットネットを管理するものとして特定された550台超のコマンド&コントロール(C2)サーバーへの受信トラフィックを遮断したと述べた。
サイバーセキュリティ・スタートアップSynthientの調査が今年初めに明らかにしたところによると、Kimwolfは、すでに侵害されているAndroid TVトップボックスをハッキングすることから始まる新しい手法により、少なくとも200万台のデバイスを取り込むまでに拡大した。
Kimwolfの運用者は、他の悪意ある攻撃者がすでにマルウェアを事前に仕込み、デバイスを住宅用プロキシへと変えている脆弱なAndroid OSデバイスをスキャンする。攻撃者が住宅用プロキシを重宝するのは、郊外のテレビから発信された通常のインターネットトラフィックのように見せかけて悪意ある活動を中継できるためだ。運用者がスキャンする欠陥は、Android Debug Bridgeサービスが露出している点である。ADBは、開発者がデバイスにリモートでアクセスできるコマンドラインツールだ。
KimwolfはAisuruボットネットの後継である。両者はほぼ確実に同一のサイバー犯罪グループによって運用されていると、中国のサイバーセキュリティ企業Xlabは昨年12月、独立系サイバーセキュリティ記者ブライアン・クレブスが取り上げたブログ投稿で結論づけた。
「短期間のうちに、ボットの1日平均は5万から20万へと増加した」とBlack Lotus Labsは記した。Synthientの分析によれば、Kimwolfは異例の機能により急速に拡散できる。単一の悪意あるAndroidデバイスをボットネットに組み込むだけではなく、ドメインネームシステム(DNS)の設定を悪用して同一ローカルネットワーク上の他のデバイスを発見し、侵害する。住宅用プロキシとして機能する1台のAndroidデバイスは、多数のデバイスがボット化するための入口となる。
Synthientは、Kimwolfの運用者がプロキシ帯域を転売し、分散型サービス妨害(DDoS)攻撃を実行するためのボットネットへのアクセスを販売していることを観測した。「10月初旬、7日間でKimwolfに追加された新規ボット数が300%急増するのを観測した。これは増加の始まりであり、月半ばまでに総ボット数は80万に達した。この急増で追加されたボットのほぼすべてが、単一の住宅用プロキシサービス上で販売リストに掲載されているのが確認された」とBlack Lotus Labsは述べた。
Black Lotus Labsは、AisuruのバックエンドC2サーバーに14emeliaterracewestroxburyma02132.suというフレーズが含まれていることに気づき、AisuruのバックエンドC2サーバーの特定を開始した。Xlabが観測したところによると、10月のある時点では、このフレーズを含むドメインがCloudflareのドメインランキングでGoogle.comを上回った。
ネットワークセキュリティ企業Infobloxは水曜日、クラウド顧客をスキャンしたところ、10月1日以降、4分の1が既知のKimwolfドメインに対してクエリを行っていたと述べた。「明確にしておくと、これは顧客の約25%が、Kimwolf運用者に狙われた住宅用プロキシサービスのエンドポイントとなっているデバイスを少なくとも1台保有していたことを示唆する」と同社は記した。
2025年10月20日から11月6日にかけて、KimwolfのC2インフラは利用可能なPYPROXYおよびその他の脆弱なデバイス接続をスキャンした。その結果、感染したAndroidデバイス200万台のIPアドレスが公開された。
これらのIPアドレスは通常、脅威アクターによってオンライン上で貸し出し用に掲載され、その後アクセス権としてリースされ、感染ノードを利用して他の脆弱なネットワーク上でのさらなる拡散を可能にする。
サイバーセキュリティ企業とFBIは、住宅用プロキシの取り締まりに向けた取り組みを強化しているが、主に中国で製造された非正規のデジタル機器を通じて、サプライチェーンの汚染による場合でも、あるいはメーカーの共謀がある場合でも、拡散は続いている(参照:FBI、中国製デバイスでのBADBOX 2.0ボットネット急増を警告)。
翻訳元: https://www.databreachtoday.com/isp-sinkholes-kimwolf-servers-amid-eruption-bot-traffic-a-30549
