Feiniu fnOSネットワーク接続ストレージ(NAS)デバイスが、攻撃者がまだ修正されていない脆弱性を悪用した後、大規模なNetdragonボットネットに組み込まれ、家庭や小規模ビジネスのストレージがDDoS攻撃のインフラに変えられました。
このマルウェアはポート57132でHTTPバックドアを開き、攻撃者が/apiパスへの細工されたGETリクエストを介してリモートで任意のシステムコマンドを実行できるようにします。
このバックドアからのトラフィックフィンガープリントと資産マッピングデータを使用して、アナリストは1,000以上のIPアドレスで侵害の兆候を特定しました。これらはすべてFeiniu デバイスに紐付けられており、他のベンダーが影響を受けている証拠はありません。
研究者は悪意のあるコードを観測しました。これはfnOSを実行しているインターネットに公開されたFeiniu NASデバイスに埋め込まれており、サンプルが2024年10月に初めて確認されたNetdragonマルウェアファミリーに属することを確認しました。
1月下旬までに、C2テレメトリーはボットネットが約1,500台の感染したFeiniu NASノードに成長したことを示唆しており、1つのコントロールパネルのスナップショットでは1,100以上のボットが同時にオンラインになっていました。
Netdragonボットネット攻撃
Netdragonは、ログ、アップデート、復旧パスを解体することで、感染したデバイスの防御を積極的に攻撃します。
感染の規模に関して、XLAB Global Hawkの資産マッピングと我々が持つC2制御データに基づくと、netdragonボットネットです。
ローダーコンポーネントは、侵入と横方向の活動の痕跡を消去するために、広範なログディレクトリ(/var/log/*.log、/var/log/messages*、/var/log/audit/audit.log*、およびシステムジャーナルを含む)を消去します。
/etc/hostsを改ざんして、apiv2-liveupdate.fnnas.comなどのFeiniuの公式アップデートドメインを0.0.0.0にリダイレクトし、事実上NASをファームウェアアップデートとセキュリティパッチから切り離します。
また、復旧関連サービス(sysrestore_serviceやbackup_serviceなど)を終了し、アップデートおよび復元バイナリを削除して、その場での修復やロールバックを困難にします。
永続化のために、マルウェアはsystemdサービスとカーネルモジュールの両方を展開し、再起動後も存続するユーザーおよびカーネル空間に二重の足場を作成します。
system_startup.shにスタートアップコマンドを追加し、攻撃者が制御するIP空間から第2段階のペイロードをダウンロードして実行し、/sbin/gotsや/usr/bin/<botid>などのパスの下にコピーを設定し、自動起動するsystemdユニットを登録します。
後のバリアントは、新しいカーネルモジュール(例:async_memcpys.ko)や/etc/systemd/system/dockers.serviceのようなサービスを追加して、永続化を更新し、Feiniuやユーザーによってリリースされたクリーンアップスクリプトを回避します。
ハードコードされたキーとナンスが、PWNED FROM NETDRAGなどのマーカー、aura.kabot[.]icuのようなC2ドメイン、および操作するシステムパスを含む文字列テーブルを復号化します。
ボットはC2エンドポイント(例:45.95.*.*範囲またはそれらのドメイン)といくつかのポートの1つ(3489、5098、6608、7489)をランダムに選択し、ログイン、ping/pong、コマンド実行、DDoSタスク用の型付きフレームを持つカスタムバイナリメッセージ形式で通信します。
セッションキーは、ボットからサーバー、サーバーからボットへのトラフィックに別々のナンスを使用して、多層XORとChaCha20で保護され、ハンドシェイクステップがコマンドループに入る前に両側を検証します。
DDoS命令を受信すると、ボットは/usr/bin/catの名前も変更し、network_serviceやresmon_serviceなどの監視サービスを終了するため、管理者は攻撃中にネットワークとプロセスの動作を観察するための基本的なツールを失います。
テレメトリーは、NetdragonがTelegramボットやHTTP APIを含むチャネルを介して攻撃指示を受け取り、その後、ITサービス、製造、公共管理などのセクターにわたって中国、米国、シンガポール、オーストラリアの組織に対して広範囲に標的を絞ったDDoSキャンペーンを開始することを示しています。
継続的な進化と影響
防御者が検出ルールを公開し、Feiniuがクリーンアップスクリプトを共有すると、Netdragonオペレーターは1月31日に新しいビルドをプッシュし、「C2IP」でマークされたiptablesおよびnftablesエントリを自動的に削除して、C2サーバーへのアウトバウンドアクセスを復元します。
DDoSモジュールは、ChaCha20暗号化された文字列とカスタムプロトコルを使用して、設定、C2インフラストラクチャ、および攻撃コマンドを隠します。
マルウェアはまた、HTTPバックドアを新しいポート(57199)に移行し、C2インフラストラクチャを更新し、静的シグネチャとリバースエンジニアリングをさらに妨害するために動的な8バイトキーパッキングを導入しました。
2月1日、オペレーターはすべてのボットにFeiniu NASシステム上のrsa_private_key.pemファイルを削除するよう命令しました。これは暗号化されたサービスや復旧メカニズムを破壊し、データ損失の可能性を高める破壊的なステップです。
Feiniuユーザーは、侵害されたデバイスがファームウェアのアップグレードを完了できない、または公式のセキュリティツールを適用できないことがあると報告しており、感染状態に留まり、ボットネットに継続的に貢献しています。
Feiniuとより広いコミュニティが根本的なfnOSの脆弱性を閉じ、堅牢なオフライン修復パスを提供できるまで、Netdragonの進化するツールセットは、デバイス所有者とダウンストリームのDDoS被害者の両方にとって深刻な脅威であり続けるでしょう。
翻訳元: https://gbhackers.com/netdragon-botnet-attack/
