認証がないコマンド&コントロールパネルが、Twitter/Xアカウントをターゲットとする認証情報詰め込みボットネットを実行しており、インターフェースを保護する認証がまったくありませんでした。
このパネルはワーカーサーバー、ルートSSH認証情報、ライブ攻撃制御、および結果ファイルを露出させ、攻撃者自身の操作を公開ターゲットに変えてしまいました。
「Twitter Checker Master Panel – FULL FIX v2.3」というタイトルのパネルは、144.76.57.92:5000で認証されていないFlaskアプリケーションで実行されていました。
その公開APIは、サーバーをリストする、チェックを開始・停止する、コンボリストをアップロードする、結果をダウンロードする、新しい設定をプッシュするための機能を公開していたため、パネルにアクセスできた者は誰でもボットネットを監視または制御できたという意味です。
2026年4月10日の12分間の観測ウィンドウ中に、この操作は722,763個の認証情報をテストし、18個の追加のTwitter/Xアカウントをリアルタイムで侵害したと報告されています。
生涯統計によると、480万以上のアカウントがテストされ、138個の確認された侵害があり、二要素認証が有効な場合に操作は最も頻繁に失敗しました。
ワーカーフリートは単一の/24範囲内の18台のサーバーで構成されていたとのことで、各マシンはパネルを通じてプレーンテキストで露出されたルートSSH認証情報を通じて管理されていました。
パネルとワーカーの命名、およびトルコ語インターフェースは、トルコのアンカラのインフラストラクチャを使用しているトルコ語を話す操作者またはチームを指しています。
インフラストラクチャはボットネット自体を超えた弱い運用セキュリティの兆候も示していました。C2サーバーは、RDP、SMB、WinRMを含む追加の管理サービスを露出させたとのことです。
同時に、報告書によれば、IPは公開時点での主要な脅威インテリジェンスサービスによって検出されないままでした。
ワーカー全体で露出されたパスワードパターンは、認証情報が手動で選択されるのではなく、同じテンプレートを使用して生成されたことを示唆しています。
そのような一貫性により、インフラストラクチャを管理しやすくすることができます。しかし、操作を追跡する防御者と研究者にとって明確な指紋を作成することにもなります。
認証情報詰め込みが有効なままである理由は、多くのユーザーがサービス全体でパスワードを再利用し続けており、攻撃者がキャンペーンを価値のあるものにするために必要とするのは小さな成功率のみだからです。
業界ガイダンスは、自動化されたログイン試行を大規模に繰り返すことができ、最も効果的な防御は強力なパスワード衛生、レート制限、および多要素認証であることに注目しています。
防御者にとって、このケースは2つの方法で有用です。まず、認証情報詰め込みインフラストラクチャはしばしば単純で、ノイズが多く、脆いことを示しています。
第二に、攻撃者のミスは、ワーカーインベントリからライブセッション制御までの操作スタック全体を露出させる可能性があり、対応者にブロッキングとテイクダウン作業の価値のあるインテリジェンスを与えることを示しています。
翻訳元: https://cyberpress.org/botnet-admin-leak-exposes-network/
