新たに発見されたボットネットマルウェアの内部には、作成者による異例なメッセージが隠されている:「AI.NEEDS.TO.DIE」。
Akamaiの研究者に「tuxnokill」と命名されたこのマルウェアは、今月主要なサイバーセキュリティ企業によって文書化された2つの新しいMiraiボットネットバリアントの1つであり、前述のハードコードされた文字列から判断すると、この特定のバリアントは昔ながらの方法でコーディングされた可能性がある。
「Tuxnokill」と「Nexcorium」
同社の世界的なハニーポットネットワークへの検出に基づいて、Akamaiはtuxnokillが、2025年3月の開示後1年間にわたって悪用されなかったD-Link DIR-823Xルーター内のコマンドインジェクション脆弱性であるCVE-2025-29635を通じて拡散していることを発見した。
「パブリック概念実証(PoC)エクスプロイトは研究者によってGitHubに共有され、CVE開示にリンクされましたが、その後削除されました」と研究者は指摘しました。攻撃者が使用したエクスプロイトは重要な違いがありますが、同じ脆弱なコードパスを標的にし、同じsystem()呼び出しをトリガーします。
同じ脅威アクターは、CVE-2023-1389を介してTP-Link Archer AX21デバイスをプローブし、公開されているエクスプロイトでZTE ZXV10 H108Lルーターをプローブしていることも観察されました。
一方、FortinetのFortiGuard Labsは、「Nexus Team」と呼ばれるグループによる並行キャンペーンの詳細を説明し、このグループはCVE-2024-3721を介してTBKデジタルビデオレコーダー(DVR)を標的にしています。
「Nexcorium」と呼ばれる彼らのマルウェアはより高度です。「tuxnokill」と同様に、複数のLinuxアーキテクチャを標的にしていますが、4つの個別の永続化メカニズムを通じて侵害されたシステムを保持することを確認しています。
「プロセスが停止した場合に再起動することを確認するために/etc/inittabを更新します。システム起動時に実行を確認するために/etc/rc.localを作成または更新します。次に、共通のシステムパス(例えば、/bin/systemctl、/usr/bin/systemctl、および/etc/system/system)をチェックし、/etc/systemd/system/persist.serviceにサービスファイルを作成して、起動時に自動的に実行できるようにします」と研究者は説明しました。
最後に、crontabを使用してスケジュール化されたタスクを作成し、再起動後に実行されることを確認します。そしてすべてのことを行った後、分析を回避して煩わせるために、現在の実行パスから元のバイナリを削除します。
マルウェアは、複数の攻撃方法を通じて侵害されたデバイスにDDoS攻撃を実行させることができます。そして興味深いことに、CVE-2017-17215を介して古いHuaweiデバイスを標的とするエクスプロイトとともにバンドルされています。
IoTの終わらないセキュリティ問題
両キャンペーンは、よく知られた効果的なプレイブックに従っています:安い、サポートされていない、パッチが当たっていないIoTハードウェアの既知の脆弱性を悪用し、こっそりそれらをボットネットに徴募し、その後それらのボットネットを使用してDDoS攻撃を開始する。
「特にこれらの脆弱性に対する公開PoCエクスプロイトが存在する場合、攻撃者はそれらを簡単に彼らの悪用ベクトルに組み込むことができます」とAkamai研究者は指摘しました。
残念ながら、サポート終了デバイス、遅いパッチサイクル、デフォルトの認証情報により、ボットネット演算子は世界中のホームネットワークとビジネスネットワークへの簡単なパスを続けて与えています。
両企業は侵害の指標と検出ルールを共有しました。
「インフラストラクチャに関連する脆弱性の開示を定期的に監視し、独自の運用セキュリティを確保するために適切なパッチ、アップグレード、セーフガードを適用することを強くお勧めします」とAkamaiは助言しました。
翻訳元: https://www.helpnetsecurity.com/2026/04/22/new-mirai-variants-target-routers-and-dvrs-via-old-flaws/
