{
“title”: “新しいCondiBot変種と’Monaco’マイナーがネットワークデバイスを標的とする”,
“content”: “

新しいCondiBot変種と’Monaco’マイナーがネットワークデバイスを標的とする

\n

最近の研究によると、企業の攻撃面はネットワークインフラストラクチャにシフトしており、攻撃者はルーター、VPN、ファイアウォールなどのエッジデバイスを初期アクセスと長期的な持続性のために悪用しています。

\n

Googleの脅威インテリジェンスチームは、2025年にゼロデイ脆弱性が特定された場合の約25％がネットワークやセキュリティ技術を対象としていたと報告しています。これにより、これらのデバイスが現代の侵入チェーンで重要な役割を果たしていることが示されています。

\n

Eclypsiumの最新の調査では、新しいCondiBot変種と「Monaco」クリプトマイナーがこの活動を高度なAPTだけでなく、財務目的のボットネットやクリプトジャッキングキャンペーンにも利用していることが明らかになりました。

\n

新しいCondiBot変種

\n

2026年3月6日、Eclypsiumは以前に文書化されていないCondiBotサンプルをキャプチャしました。これは、Mirai派生のCondi DDoSボットネットの進化版で、Linuxベースのデバイスを大規模な攻撃インフラストラクチャに組み込むように設計されています。

\n

このバイナリは、arm、arm5、arm6、arm7、mips、x86、x86_64のアーキテクチャをサポートするマルチアーキテクチャELF「エグゼキューター」で、ルーター、IoT機器、ネットワークアプライアンスを含む幅広いデバイスで実行可能です。

\n

このボットは、wget、curl、tftp、ftpgetを使用して適切なアーキテクチャのペイロードをダウンロードし、再起動ユーティリティを無効化し、ハードウェアウォッチドッグを操作し、競合するボットネットを殺すことで制御を維持します。

\n

このマルウェアは、C2（65.222.202.53）で登録されると、コマンドを待つセレクトループに入り、32種類の攻撃ハンドラーを呼び出すことができます。

\n

Monacoクリプトマイナー

\n

Eclypsiumは、Go 1.24.0ベースのSSHスキャナとMoneroクリプトマイナーである「Monaco」も分析しました。このマルウェアは、3.6億以上のルータブルIPに対してSSHサーバーをブロットフォース攻撃します。

\n

マルウェアは、x86-64、ARM32、ARM64、MIPSの両方のエンドアンバリアントに対してスタティックリンクされたELF実行可能ファイルを提供し、従来のサーバー、IoTデバイス、ルーター、そしてJuniperネットワーク機器を含む幅広いデバイスを侵害することができます。

\n

Monacoは、50以上の脆弱な資格情報（「root」、「admin」、「ubuntu」、「postgres」など）を使用してアクセスを取得し、/tmp/monacoまたは/tmp/niceに自身をコピーし、許可を設定し、競合するマイナーを殺し、CPU設定を調整し、XMRig/XMRigCCを使用してMoneroをマイニングします。

\n

侵害されたSSH資格情報は、アリババクラウド（8.222.206.6）でホストされるC2インフラストラクチャに送信され、Apacheファイルホスティング、マイニングプロキシ、および「nice」と「monaco」コマンドアンドコントロールチャネルが公開されます。

\n

ネットワークデバイスの構造的な弱点

\n

これらのキャンペーンは、企業がネットワークとセキュリティアプライアンス上のファームウェアと低レベルのソフトウェアに対する深い可視性を欠いているという構造的な不均衡を強調しています。

\n

攻撃者は、この「可視性ギャップ」を利用して、露出したVPNやゲートウェイを経由してゼロクリックの初期アクセスを取得し、オペレーティングシステムの下で持続し、侵害されたスイッチやファイアウォールからセグメントをブリッジします。

\n

Eclypsiumは、これらの新しいCondiBotとMonacoサンプルが、APTスパイ、ランサムウェア関連組織、そして現在のクリプトマイニングオペレーターを含む長期的なネットワークデバイス集中型の操作の一部であると指摘しています。

\n

これを防ぐために、防御者はルーター、ファイアウォール、VPN、その他のエッジデバイスに対するモニタリングと脅威検出を拡張し、それらを重要なエンドポイントとして扱うことを推奨します。

\n}<|im_start|> modneğiği<|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|>

---

元記事: https://gbhackers.com/condibot-variant-and-monaco/