脅威者が従来のエンドポイントではなくネットワークインフラストラクチャをますますターゲットにしているため、エンタープライズ攻撃対象領域は急速に変化しています。
セキュリティ研究者は、ルーター、ファイアウォール、IoTデバイスへの攻撃が急増していることを観察しており、これらのシステムが大規模なDDoSキャンペーンと暗号通貨マイニングの両方に悪用されるという成長する傾向を強調しています。
Eclypsiumからの最近の調査結果は、このアクティビティはもはや高度な国家支援グループに限定されていないことを明らかにしています。
利益を目的とした攻撃者は、現在、同じ技術を積極的に活用して、侵害されたデバイスから利益を得ています。これらの攻撃は、弱い設定、パッチが当たっていない脆弱性、およびネットワークハードウェアの可視性の欠如を悪用しています。
2026年3月6日、研究者はLinuxベースのシステムとネットワークデバイスをアクティブにターゲットにしている2つの以前に文書化されていないマルウェア株を特定しました。
最初のCondiBot は、Mirai派生ボットネットの新しい亜種です。感染したデバイスをリモート制御されたノードに変換して、分散型サービス拒否(DDoS)攻撃を開始できるように設計されています。
以前のバージョンとは異なり、このバリアントはARM、MIPS、x86を含む複数のシステムアーキテクチャをサポートしており、広範囲のデバイスに感染することができます。
CondiBot は、wget、curl、TFTP などの複数のダウンロード方法を使用して、感染の成功を確保します。デプロイされたら、コマンド・アンド・コントロール(C2)サーバーに接続し、リブート機能をオフにし、競合するマルウェアを削除します。
その後、ネットワーク攻撃を開始するための指示を待ちます。研究者は、このバージョンに拡張された攻撃機能と新しい識別子が含まれていることも発見し、継続的な開発を示唆しています。
「Monaco」と呼ばれる2番目の株は、SSHスキャナーと暗号マイナーを組み合わせています。Goで書かれており、インターネットで露出しているSSHサービスをスキャンし、一般的なパスワードを使用したブルートフォース技術を使用してアクセスを取得します。
内部に入ると、Moneroマイニングソフトウェアをデプロイし、盗まれた認証情報をC2インフラストラクチャに送り返します。
Monacoはサーバー、ルーター、IoTデバイスを含む複数のプラットフォームで実行するように設計されています。また、競合するマイナーを終了し、システムパフォーマンスを最適化して暗号通貨出力を最大化します。
多くの場合、VPNやゲートウェイなどのインターネット対応システムをターゲットにすることで、攻撃者はユーザーが何も操作しなくてもアクセスを取得しています。
ネットワークデバイスは、従来のセキュリティ監視ツールが不足していることが多いため、ユニークなリスクを提示しています。これにより可視性ギャップが生じ、攻撃者が長期間検出されないままでいることができます。
侵害されたら、これらのデバイスは横方向の移動、トラフィック傍受、永続的なコントロールのための戦略的アクセスを提供します。
CondiBot と Monaco のようなマルウェアの台頭は、攻撃者がいかに破壊と利益主導の戦術を組み合わせているかを示しています。
ネットワークインフラストラクチャが主要なターゲットになるにつれ、組織はパッチ適用を優先し、強力な認証情報を適用し、これらの重要なシステムの監視を改善する必要があります。
翻訳元: https://cyberpress.org/network-devices-hijacked-globally/