Akamaiセキュリティインシデント対応チーム(SIRT)は、同社のグローバルなハニーポット全体で、ほとんど使用されないTCPポートを標的とする活動の増加を検知しました。
2023年10月下旬に実施された調査により、特定のHTTPエクスプロイトパスが明らかになり、野放しの環境で実際に悪用されている2件のゼロデイ脆弱性が特定されました。
1つ目のエクスプロイトはCCTVおよびセキュリティカメラ機器で使用されるネットワークビデオレコーダー(NVR)を標的としており、2つ目はホテルや住宅用途向けのコンセント型無線LANルーターに影響しました。
さらなる分析により、NVR機器はメーカーによって一般的に文書化されているデフォルトの管理者認証情報を使用していたことが判明しました。ベンダーは2023年12月のリリースを予定して修正に取り組んでいます。ルーターベンダーも影響を受けるモデル向けのリリースを計画しており、パッチの準備が整うまで詳細は公表しないとしています。
Akamai SIRTは、このキャンペーンがMiraiボットネットの活動クラスターに由来すると特定し、主に古いJenX Miraiマルウェア亜種を使用しているとしました。注目すべき点として、コマンド&コントロール(C2)ドメインには攻撃的な言葉や人種差別的な蔑称が含まれていました。このキャンペーンに関連するマルウェアサンプルは、オリジナルのMiraiボットネットと類似点を示しました。
Miraiについて詳しく読む:新たなMirai亜種キャンペーンがIoT機器を標的に
研究者らは、SnortおよびYARAルール、マルウェアサンプルのSHA256SUM、C2ドメインなど、侵害指標(IoC)を共有しました。SIRTは、影響を受けたベンダーに通知するため、CISA/US-CERTおよびJPCERTと連携しています。
緩和策としては、モノのインターネット(IoT)機器のデフォルト認証情報を確認して変更すること、脆弱な機器を隔離すること、DDoS対策のセキュリティ制御を実装することが推奨されています。
「ボットネットやランサムウェアのような脅威は、伝播のために、しばしば広く知られており容易に入手できるデフォルトパスワードに依存しています」と、勧告には記されています。「脅威が横展開しにくくなればなるほど、不正アクセスや潜在的なセキュリティ侵害の可能性は低くなります。」
Akamaiのブログ投稿は、サイバーセキュリティにおけるハニーポットの重要性と、組織が新たに出現する脅威について情報を得続ける必要性を強調して締めくくられています。SIRTは、ベンダーおよびCERTが責任ある情報開示プロセスを完了次第、追加の詳細を含むフォローアップのブログ投稿を公開する予定です。
翻訳元: https://www.infosecurity-magazine.com/news/infectedslurs-botnet-mirai-zero/
