概要
新たに発見されたマルウェアキャンペーン「KadNap」が、14,000台以上のインターネットに接続されたルーターとエッジデバイスをスパイシーなプロキシボットネットワークに従属させています。このキャンペーンは、主にアスースルーターを標的としています。
KadNapの感染方法
このキャンペーンは、2025年8月初旬にアスースデバイスが不審なサーバークラスタと通信していることが最初に報告されました。その後の解析により、悪意のあるダウンロードチェーンが明らかになりました。このチェーンは、212.104.141[.]140でホストされているaic.shという名前のシェルスクリプトから始まります。
aic.shスクリプトは、毎時間実行されるcronジョブを作成し、悪意のあるシェルスクリプトを取得、リネームし、実行します。- このスクリプトは、ルーター用のELFバイナリをダウンロードし、
kadという名前にリネームして実行します。
KadNapの特徴
KadNapは、Kademlia分散ハッシュテーブル(DHT)プロトコルを独自に実装することで、コマンド・アンド・コントロール(C2)サーバーの真正のIPアドレスを隠すことができます。
- Kademliaは、BitTorrentやeMuleなどの技術で使用される分散検索システムです。
- KadNapは、このプロトコルを利用して、攻撃者がP2Pトラフィックを介してC2サーバーに接続します。
- この設計は、セキュリティチームがKadNapのインフラを列挙し、ブロックするのを難しくします。
被害の状況
被害は主にアメリカ合衆国に集中していますが、台湾、香港、ロシアなどでも感染が確認されています。
経済的利益
KadNapボットは「Doppelganger」という住宅プロキシサービスを通じて経済的利益を得ています。このサービスは、サイバー犯罪者がIPアドレスを隠すために使用します。
対策
この脅威に対抗するため、ネットワークの防御者は、脆弱なSOHOやIoTデバイスの更新を重視し、リモート管理機能を無効にし、最新のファームウェアを適用し、強力なルーターパスワードを設定することが重要です。
結論
KadNapは、脆弱なデバイスを悪用してサイバー犯罪者に利益をもたらす巧妙なマルウェアです。セキュリティチームは、この脅威に対抗するために、最新の情報を共有し、防御策を強化することが求められます。