TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

攻撃者がDVRコマンドインジェクション脆弱性を悪用してMiraiベースのボットネットを展開

新たに確認されたマルウェアキャンペーンが、デジタルビデオレコーダー(DVR)デバイスのコマンドインジェクション脆弱性を悪用してMiraiベースのボットネットを展開していることが、FortiGuard Labsの分析により明らかになりました。

このアクティビティはTBK DVRシステムのCVE-2024-3721を標的にしており、攻撃者がアクセスを取得し、Nexcoriumとして知られるマルチアーキテクチャMiraiバリアントマルウェアをインストールできるようにしています。

Fortinet の研究者は、攻撃が脆弱なパラメータを悪用する作成されたリクエストからダウンローダースクリプトを実行することで始まることを発見しました。このスクリプトはARM、MIPS、x86-64システムを含むさまざまなLinux環境向けにカスタマイズされた悪意のあるバイナリを取得し、昇格された権限で実行します。

攻撃トラフィック内の証拠には、「Nexus Team」を参照するカスタムHTTPヘッダーが含まれており、分析者はこれが以前に追跡されていない脅威アクターを指す可能性があると考えています。実行時に、マルウェアは侵害されたシステムの制御を発表し、感染の成功を示しています。

「Nexcoriumキャンペーンは、自動スキャンだけではエクスポージャーギャップを閉じることができない理由を正確に示しています」とBugcrowdのチーフストラテジー・トラストオフィサーであるTrey Fordは述べました。「マシン速度の分析は脆弱性の存在を示しますが、人間の研究者の深さは、攻撃者がそれをどのように連鎖させ、武装化し、初期アラート発火後も長期間アクセスを維持するかを示します。」

マルチステージ感染と永続性技術

デプロイされると、NexcoriumはXORエンコーディングで隠されたコンフィギュレーションセットを初期化します。これには、コマンド&コントロール(C2)サーバーの詳細、攻撃命令、およびブルートフォース活動に使用される組み込み認証情報リストが含まれます。

マルウェアは従来のMiraiアーキテクチャに密接に似ており、スキャン、永続性、攻撃実行に専念するモジュールがあります。

スキャナーコンポーネントは、既知の弱点を悪用し、Telnet接続経由でデフォルト認証情報を活用することで、伝播を試みます。その組み込み悪用の中にはCVE-2017-17215がありますが、これはHuaweiルータに影響する脆弱性で、初期のDVRターゲットを超えてそのリーチを拡張します。

実際には、マルウェアは感染をスケーリングするために複数の技術を組み合わせています。CVE-2024-3721を初期アクセスに悪用し、デフォルト認証情報を使用して側方移動を行い、複数のCPUアーキテクチャをターゲットにし、脆弱なデバイス全体でそのリーチを拡大するためにレガシー悪用を組み込みます。

永続性は複数のメカニズムを通じて達成されます。マルウェアはシステム初期化ファイルを変更し、スタートアップスクリプトを作成し、システムサービスを登録してリブート後の実行を保証します。また、cronジョブを通じて定期的なタスクをスケジュールし、システム再起動を生き残り、長期的なアクセスを維持することを可能にします。

IoTボットネット脅威についてもっと読む: 新しいMiraiボットネットがルータとスマートデバイスのゼロデイを悪用

DDoS機能と運用上の影響

永続性を確立した後、Nexcoriumはリモートコマンドサーバーに接続して命令を受け取ります。

これはUDPフラッド、TCP SYNフラッド、SMTPフラッドなどのアプリケーションレイヤー攻撃を含む、広範な分散サービス妨害(DoS)方法をサポートしています。

攻撃コマンドはC2インフラストラクチャによって動的に発行され、感染したデバイス全体で調整されたキャンペーンを可能にします。マルウェアは指示があれば進行中の攻撃を終了または自身を削除することもでき、ボットネット操作の集中制御を示唆しています。

「企業はしばらくの間、MiraiとそのバリアントによってIoTおよびOTデバイスのフロートが使用されており、特にDDoS攻撃に使用されています」とIoTセキュリティ企業Viakooの副社長John Gallagherは述べました。「企業がIoTデバイス上でサイバーハイジーンを維持するためにより多くの行動をとるまで、感染の容易性と側方移動の能力のため、これは継続するでしょう。」

セキュリティチームはIoT環境の基本的なコントロールに焦点を当てるべきだと、Gallagherは述べました。従来のエージェントベースのツールは効果がないことが多いと指摘しています。

「IoTデバイスはエージェントをホストすることを許可しないため、エージェントレスの発見と修復ソリューションのみが適用できます」と彼は付け加えました。「IoTセキュリティの他のベストプラクティスには、パスワードと証明書管理、およびファームウェア管理の自動化された方法が含まれます。」

翻訳元: https://www.infosecurity-magazine.com/news/mirai-variant-dvr-flaw-iot-botnet/

ソース: infosecurity-magazine.com
#DDoS攻撃 #DVRデバイス #IoT #Mirai #コマンドインジェクション #サイバー攻撃 #ボットネット #マルウェア #永続性 #脆弱性

関連記事

NCSCがNHSのサイバーレジリエンスを強化するための協調計画を概説

暗号資産取引所Grinexが1300万ドルの盗難を西側スパイのせいにする

商用AIモデルが脆弱性研究で急速な進展を示す