ここ数年の間に、企業の攻撃対象領域はネットワークインフラストラクチャへと急速にシフトしており、攻撃者はルーター、VPN、ファイアウォール、その他のエッジデバイスを初期アクセスと長期的な永続性のために悪用するようになっています。
Verizonおよびその他の企業による調査は、近年のネットワークおよびエッジデバイスの悪用がほぼ8倍増加したことを文書化しており、これらの脆弱性は現在、侵害全体の5分の1以上に関与しています。
同時に、Googleの脅威インテリジェンスチームは、2025年に悪用されたゼロデイ脆弱性の約4分の1がネットワークおよびセキュリティ技術を特に標的としており、これらのデバイスが現代的な侵入チェーンでいかに重要になったかを強調していると報告しています。
最新のGoogle Cloud Threat Horizonsレポートはさらに、サードパーティソフトウェアの脆弱性の悪用が初期アクセスベクトルとして弱い認証情報を上回るようになり、ソフトウェア駆動型のネットワーク侵害への広範なシフトを示していることを指摘しています。
ネットワークデバイスは、環境内の高レバレッジポイントに位置し、従来のEDRエージェントを実行できない不透明な組み込みオペレーティングシステムを実行していることが多いため、魅力的です。
Eclypsiumの新しいCondiBot亜種と「Monaco」に関する最新の調査結果は、このアクティビティはもはや高度なAPTに限定されず、経済的動機を持つボットネットとクリプトジャッキングキャンペーンも助長していることを示しています。
ファームウェアまたはOSレベルで侵害されると、攻撃者は耐久性のある永続性を維持し、再起動と再イメージング後も生き残り、デバイスを横展開とトラフィック傍受のための戦略的なピボットとして使用できます。
新しいCondiBot亜種
2026年3月6日、Eclypsiumは以前に文書化されていないCondiBotサンプルを取得しました。これはMirai派生のCondi DDoSボットネットの進化版で、Linuxベースのデバイスを大規模な攻撃インフラストラクチャに動員するように設計されています。
このバイナリは、arm、arm5、arm6、arm7、mips、x86、x86_64ビルドをサポートするマルチアーキテクチャELF「executor」で、Fortinelプラットフォームだけでなく、広範なルーター、IoTギア、ネットワークアプライアンスで実行できます。
ボットは堅牢なペイロード配信ルーチンを使用し、wget、curl、tftp、ftpgetを循環させて適切なアーキテクチャペイロードを取得してから、リブートユーティリティを無効化し、ハードウェアウォッチドッグを操作し、制御を維持するために競合するボットネットを終了します。
ポート80で65.222.202.53の(現在は非アクティブな)C2に登録されると、マルウェアはselect()ループでコマンドを待ち、32の異なる攻撃ハンドラーを起動できます。これは、以前のCondiレポートと比較して、DDoSフラッド技術の範囲が拡大したことを示唆しています。
特に、組み込まれた「QTXBOT」識別子と/bin/soraの新しいプロセスキルリストエントリは、フォークされた系統か脅威アクターによる継続的な開発を指しています。
CondiBot と並行して、Eclypsiumは「Monaco」(Go 1.24.0ベースのSSHスキャナーおよびMoneroクリプトマイナー)を分析しました。これは約36億のルーティング可能なIPにわたってSSHサーバーを体系的にブルートフォースしています。
マルウェアはx86-64、ARM32、ARM64、MIPS向けの静的にリンクされたELFの実行ファイルとして、両エンディアンバリアントで提供され、従来のサーバー、IoTデバイス、ルーター、さらにはJuniperネットワークデバイスまで侵害できます。
Monacoは、50以上の弱い認証情報のハードコードされたワードリスト(「root」、「admin」、「ubuntu」、「postgres」、および単純な数値パターンを含む)を使用してアクセスを取得し、その後、/tmp/monacoまたは/tmp/niceにコピーし、許容的なアクセス許可を設定し、ライバルマイナーを終了し、CPU設定を調整し、XMRig/XMRigCCをデプロイしてMoneroOceanプール経由でMoneroをマイニングします。
侵害されたSSH認証情報がAlibaba Cloud(8.222.206.6)でホストされるC2インフラストラクチャに送信されます。これは複数のサービスを公開しており、ポート80でApacheファイルホスティング、ポート3333でマイニングプロキシ、ポート12345および12346で別々の「nice」および「monaco」コマンドアンドコントロールチャネルが含まれています。
サーバーに残されたオープンディレクトリリスト、デバッグビルド、デフォルトトークンは、比較的低度な洗練、おそらく中国語を話す俳優がステルスよりもスケールに焦点を当てていることを指しています。
構造的な弱点としてのネットワークデバイス
これらのキャンペーンは明らかな構造的不均衡を悪用しています。ほとんどの企業は、ネットワークおよびセキュリティアプライアンスで実行されているファームウェアおよび低レベルソフトウェアへの深い可視性をまだ備えていません。
攻撃者はこの「可視性ギャップ」を悪用して、公開されたVPNまたはゲートウェイを介してゼロクリック初期アクセスを獲得し、オペレーティングシステムの下で永続し、侵害されたスイッチおよびファイアウォールからセグメントまたはIT/OT境界を橋渡しします。
Eclypsiumは、これらの新しいCondiBot およびMonacoサンプルが、ネットワークデバイス焦点の操作における複数年の上昇の範囲内にあることに注目しており、APTスパイ活動、ランサムウェア関連企業、現在はクリプトマイニング事業者にまたがっています。
これに対抗するために、防御者はルーター、ファイアウォール、VPN、およびその他のエッジデバイスへの監視と脅威検出を拡張し、従来のセキュリティ制御の外にある不透明なインフラストラクチャではなく、重要なエンドポイントとして扱うよう促されています。
翻訳元: https://gbhackers.com/condibot-variant-and-monaco/
