「Broadside」ボットネットの発見
Cydomeのサイバーセキュリティ研究チームは、悪名高いMiraiボットネットの洗練された新種「Broadside」が、現在、海事ロジスティクス分野を標的とした活発なキャンペーンを実行していることを明らかにしました。従来の一般的なボットネット攻撃とは異なり、Broadsideは商船で使用されるデジタルビデオレコーダー(DVR)の特定の脆弱性を悪用しており、産業界の特殊なターゲットへの戦略的転換を示唆しています。
このキャンペーンは、TBK DVRデバイスに存在する「CVE-2024-3721」という、深刻度「高」のリモートコマンドインジェクションの脆弱性を悪用することに焦点を当てています。これらのデバイスは、船舶のセキュリティ監視において広く利用されています。Cydomeの研究者は、この数ヶ月間インフラを追跡し、活発なIPアドレスがキャンペーンの攻撃スパイクと直接的に同期していることを確認しました。
「Broadside」の特徴と高度な回避技術
Broadsideは、以下の点で以前のMiraiの亜種とは一線を画しています。
- 高度な回避技術と、侵害されたデバイスでの排他的な動作を目的としたモジュラーアーキテクチャを採用。
- 従来のボットネットが使用していた「ノイズの多いファイルシステムポーリング」を放棄し、Netlinkカーネルソケットを利用した「Smart Mode」を導入。これにより、カーネルから直接、ステルス性の高いイベント駆動型の通知を通じてシステムプロセスを監視し、CPUオーバーヘッドを大幅に削減して検知を困難にしています。
- C2(コマンド&コントロール)通信は、カスタムプロトコルを使用しTCP/1026で確立され、フォールバック通信としてTCP/6969を使用します。
- 「Judge, Jury, and Executioner」モジュール:競合する他のマルウェア(「deleted」バイナリパスで識別されることが多い)を動的に終了させます。
- 自身のプロセスIDと親プロセスを保護するため、洗練されたアローリスト/ブロックリストメカニズムを維持します。
DDoS以上の能力
Broadsideは、32の同時ソケットを開放できる高性能なUDPフラッドジェネレーターによるDDoS攻撃能力を備えていますが、その機能は単純なサービス妨害にとどまりません。
- DDoS攻撃が失敗した場合、制御を維持するために0.1秒ごとに/procディレクトリを積極的にスキャンする「Panic Mode」に移行します。
- ペイロードの多形性(polymorphism)により、パケットヘッダーのビットを反転させてネットワークシグネチャを変化させ、静的防御を回避します。
- 最も重要なのは、分析によりBroadsideが実行中にシステム認証情報ファイル、特に
/etc/passwdと/etc/shadowへのアクセスを積極的に試行していることが確認された点です。この挙動は、即時のサービス拒否以上の目的、すなわち権限昇格、ローカルアカウント列挙、横方向の移動を意図していることを示唆しています。これにより、侵害されたDVRは単なる「ゾンビ」ボットから、海事ネットワーク内の戦略的な足がかりへと変貌します。
感染経路と対策
攻撃経路は単純ながらも効果的です。攻撃者は、/device.rspエンドポイントへの特定のHTTP POSTリクエストを介してCVE-2024-3721脆弱性を悪用します。これにより、「mass」ローダースクリプトをダウンロードするコマンドが注入され、環境の準備(ファイルディスクリプタ制限の増加など)と、複数のCPUアーキテクチャ(ARM、MIPS、x86など)向けのブルートフォースダウンロードが実行され、互換性が確保されます。
マルウェアがインストールされると、カスタムプロトコルを介してTCPポート1026(バックアップポート6969)でC2サーバーと通信し、ユニークな「Magic Header」シグネチャ(0x36694201)によって識別可能です。
Cydomeは、このキャンペーンが現在活発であると警告しており、TBK DVRを利用している組織に対し、直ちにCVE-2024-3721のパッチを適用し、この亜種に関連する特定のC2ポートおよびシグネチャのネットワークトラフィックを監視するよう強く推奨しています。