セキュリティ研究者らは、産業用ルーターおよびスマートホーム機器向けのゼロデイ攻撃を用いて拡散する、新たなMiraiベースのボットネットを発見した。
攻撃的な名称の「gayfemboy」ボットネットは、2024年2月に中国の研究組織Qi’anxin XLabによって初めて発見された。しかし初期の反復版は特筆すべき点のないMiraiの亜種だった一方で、その開発者はその後取り組みを強化し、nデイおよびゼロデイ脆弱性の悪用を組み込んで拡大を図っている。
これには、Four-Faithの産業用ルーターにおけるゼロデイの欠陥(CVE-2024-12856)や、NeterbitルーターおよびVimarスマートホーム機器における未確認の脆弱性が含まれており、これらはまだCVEが割り当てられていない。
XLabによると、このボットネットは拡散のために20件を超える脆弱性と、弱いTelnetパスワードを利用している。同社は、中国、ロシア、米国、イラン、トルコを中心に約15,000のアクティブIPを観測したと主張した。
Miraiボットネットについて詳しく読む: 新たなMirai亜種キャンペーンがIoTデバイスを標的に
このボットネットは2024年2月以降、断続的にDDoS攻撃を実施しており、これまでの活動のピークは昨年10月と11月だった。さまざまな分野の数百の標的が毎日攻撃されているとみられ、主に中国、米国、ドイツ、英国、シンガポールが対象となっている。
実際、XLabがより詳細な分析を行うためにいくつかのコマンド&コントロール(C2)ドメイン名を登録したところ、ボットネット運用者はそのツールをXLabに向けた。
「私たちは登録したドメイン名をクラウドベンダーのVPSに解決しました。これを発見すると、所有者は私たちが登録したドメイン名に対して定期的にDDoS攻撃を開始し、各攻撃は10〜30秒間続きました」とXLabは述べた。
「クラウドベンダーが私たちのVPSが攻撃されていることを発見すると、直ちに24時間以上にわたり私たちのVPSトラフィックをブラックホール化し、これによりVPSはサービス提供ができずアクセス不能になりました([ボットネット]に殺される前に、クラウドベンダーのサービス方針によりクラウドベンダーによってVPSが停止させられました)。VPSサービスが復旧すると、再び攻撃されました。」
研究者らはDDoS緩和サービスによる保護を受けていなかったため、最終的にC2ドメイン名の解決を停止せざるを得なかった。
翻訳元: https://www.infosecurity-magazine.com/news/mirai-botnet-zerodays-routers/
