Lumen TechnologiesのBlack Lotus Labsが、2025年8月から活動している新興ボットネット「KadNap」を発見しました。KadNapはASUSルーターおよび周辺的なエッジネットワーク機器に感染し、これらのデバイスを悪意あるトラフィックの中継地点へと変えています。わずか数ヶ月で、このボットネットは約14,000のノードに拡大し、サイバー犯罪者が自らの攻撃を隠蔽し、防御を迂回するための広大なインフラストラクチャの一部となっています。
これらの侵害されたノードはピア・ツー・ピアネットワークを形成し、Kademlia分散ハッシュテーブルプロトコルの改変版を通じて指令・制御インフラストラクチャと通信します。この複雑で迷路のようなアーキテクチャにより、司令官サーバーの特定が極めて困難になります。運用情報がネットワーク全体に分散され、各ノードが全体情報のほんの一部しか保有していないためです。
侵害されたデバイスの約半分は、ASUSルーター内のボットに対応するコマンドサーバーに接続されています。残りのノードは2つの異なるコマンドセンターに接続しています。侵害されたシステムの最大集中地はアメリカ合衆国で、ネットワーク全体の約60%を占めています。台湾、香港、ロシアにも相当数が分布しています。
感染プロセスは「aic.sh」という悪質なスクリプトの秘密の取得で始まります。このスクリプトはcronスケジューラーを用いてホストに深く埋め込まれ、55分ごとに実行するようプログラムされています。その後、侵害されたデバイスは「kad」というELF実行ファイルをダウンロードし、KadNapクライアントをインストールします。起動時に、ソフトウェアはデバイスの外部IPアドレスを確認し、ネットワークタイムプロトコル(NTP)サーバーから正確な時刻とシステムアップタイムの情報を取得します。
高度な運用ステルス性を実現するため、KadNapはKademlia プロトコルの改変版を展開します。このネットワークを通じて、悪意あるソフトウェアは指令インフラストラクチャの情報を取得するための同類ノードを探します。これにより従来型のネットワーク監視と防御の実施が極めて困難になります。しかし研究者はその実行内に重大な欠陥を発見しました。指令サーバーとの通信前に、侵害されたデバイスは定期的に2つのハードコーディングされた固定ノードとの接続を確立します。このアーキテクチャの欠陥により、ネットワークの分散化が大幅に減少し、調査官に司令インフラストラクチャの一部を特定する手段を与えています。
詳細な取調べ分析は、KadNapとDoppelgangerプロキシシンジケート間の明確な関連性を明らかにしました。Lumen Technologiesが得た情報によれば、このサービスはFacelessプラットフォームの再ブランド版である可能性が高いです。Facelessは、同じくASUSルーティング機器を狙った大規模ボットネット「TheMoon」と歴史的に結びついています。この秘密のプラットフォームは侵害されたハードウェアへのアクセスを「住宅用」プロキシとして販売しています。攻撃者がこれらの盗まれた経路を通じてトラフィックを送信することで、自らの攻撃の真の出所を隠蔽し、地理的またはIPベースのブロックを容易に回避できます。
そのような不正なプロキシは、DDoS攻撃、パスワード総当り攻撃、認証情報詰め込み攻撃の実行に頻繁に利用されます。これらの場合、悪意あるアクティビティは無実の侵害されたデバイスから発生しているように見えます。
本文の著者は、ネットワーク管理者に異常なcronジョブ、不明な外部ノードへの定期的な接続、エッジネットワーク機器への疑わしいファイルのダウンロードに対して細心の注意を払うよう強く勧告しています。これらはKadNapクライアントの感染の明白な兆候です。インフラストラクチャの積極的な監査と疑わしいネットワーク接続のブロックは、感染デバイスの増殖を抑制し、ボットネットの有効性を大幅に低下させるために不可欠です。
翻訳元: https://meterpreter.org/shadow-of-the-router-how-the-kadnap-botnet-hijacked-14000-asus-devices/
