新たに発見されたNexcoriumという名のMiraiマルウェアバリアントが、パッチが適用されていないInternet of Things(IoT)デバイスを積極的に標的にしています。
FortiGuard Labsの最近の脅威調査によると、攻撃者はTBK DVRシステムの深刻な脆弱性を悪用して、破壊的な分散型サービス妨害(DDoS)攻撃を仕掛けることができる大規模なボットネットを構築しています。
このキャンペーンは主にCVE-2024-3721に焦点を当てています。これはTBK DVR-4104およびDVR-4216モデルに影響を与える高重大度のOSコマンドインジェクション脆弱性です。ハッカーはこの弱点を利用してセキュリティをバイパスし、悪意のあるダウンローダースクリプトを配信します。
分析中、FortiGuard Labs研究者は攻撃トラフィックで「X-Hacked-By: Nexus Team – Exploited By Erratic」と読む、カスタムHTTPヘッダーを発見しました。
この独特なフィンガープリントは、悪意のある活動を「Nexus Team」として特定される新興の脅威行為者に強く結びつけています。
マルウェアの動作と急速な拡散
初期スクリプトがデプロイされると、Nexcoriumペイロードを取得します。このマルウェアは高度に適応性が高く、ARM、MIPS、x86-64を含む複数のLinuxデバイスアーキテクチャに感染するように設計されています。
正常に実行されると、マルウェアは「nexuscorp has taken control」という隠れたシステムメッセージを大胆に表示します。
Nexcoriumは従来のMiraiボットネットと同様に動作していますが、積極的な拡散手法をもたらします。ホストデバイスに感染した後、インターネットをスキャンして他の脆弱なターゲットを探し始めます。
Huawei HG532ルーターをハイジャックすることを目的とした二次的なエクスプロイト(CVE-2017-17215)を備えています。さらに、マルウェアは「admin」、「12345」、「guest」などの弱い既定パスワードのハードコードされた辞書を持ち、Telnet接続経由で他の露出したデバイスにブルートフォース攻撃を行います。
デバイスの再起動とセキュリティチェックを乗り切るために、Nexcoriumは多層的な永続化アプローチを使用します。自身をシステムフォルダの深くにコピーした後、いくつかのバックアップメカニズムを設定します:
- Init設定: /etc/inittabファイルを変更して、悪意のあるプロセスが停止した場合に再起動するように強制します。
- スタートアップスクリプト: ローカルスタートアップファイルを変更して、システムの起動時の実行を保証します。
- Systemdサービス: ユーザーの操作なしに自動的に実行される隠れたバックグラウンドサービスを作成します。
- cronジョブ: マルウェアを定期的に再起動するようにルーチンシステムタスクをスケジュールします。
永続的な足がかりを確保した後、Nexcoriumは元のインストールファイルを削除して、セキュリティアナリストとアンチウイルススキャナーから痕跡を隠します。
Nexcoriumボットネットの最終的な目標は、壊滅的なDDoS攻撃を仕掛けることです。マルウェアはリモートコマンド・アンド・コントロール(C&C)サーバーと通信して、対象化命令を受け取ります。
FortiGuard LabsはNexcoriumが高度に多用途であり、UDPフラッド、TCP SYNフラッド、SMTPフラッドを含む10種類以上の異なる攻撃方法をサポートしていることを指摘しました。この柔軟性により、Nexus Teamはさまざまなタイプのネットワーク、アプリケーション、およびWebサーバーを圧倒することができます。
緩和戦略
IoTボットネットが規模を拡大し続ける中、組織と管理者はネットワークを防御するための積極的な措置を講じる必要があります:
- すべてのDVR、ルーター、およびIoTハードウェアに最新のベンダーファームウェアパッチを適用します。
- すべての既定デバイス認証情報を強力でユニークなパスワードに置き換えて、ブルートフォース攻撃をブロックします。
- 外部Telnetアクセスを無効にして、重要なネットワーク接続デバイスのインターネット露出を制限します。
- ネットワークトラフィックを監視して、異常な送信接続、特に自動スキャン動作を検出します。
翻訳元: https://gbhackers.com/nexcorium-mirai-variant-weaponizes-tbk-dvr-vulnerability/
