AIRASHI ボットネット
Cambium Networks の cnPilot ルーターのゼロデイ脆弱性は、AISURU ボットネットの亜種である AIRASHI を展開するサイバー犯罪者の最新のツールとなっています。2024 年 6 月から活動しているこのキャンペーンは、この欠陥を悪用して強力な分散型サービス拒否 (DDoS) 攻撃を仕掛けます。セキュリティ研究者は、調査が進行中の間、悪用を制限するために脆弱性の詳細を公表していません。
目次
悪用された脆弱性の歴史
AIRASHI ボットネットは、単一の攻撃ベクトルに限定されません。AVTECH IP カメラ、LILIN DVR、Shenzhen TVT デバイスに見られる CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、CVE-2022-3573、CVE-2022-40005、CVE-2022-44149、CVE-2023-287 などの一連の脆弱性や、その他の欠陥を武器化します。AIRASHI は、この幅広い脆弱性を悪用することで、その範囲と洗練度を継続的に拡大しています。
DDoS 攻撃の能力: 詳細
AIRASHI の背後にいるオペレーターは、その活動を隠そうとはせず、ボットネットの DDoS 機能のテスト結果を Telegram に投稿しています。過去のデータから、その攻撃能力は 1~3 Tbps 程度で安定していることがわかります。地理的に見ると、侵害されたデバイスのほとんどはブラジル、ロシア、ベトナム、インドネシアにあります。しかし、標的は中国、米国、ポーランド、ロシアなどの地域に集中しており、これらの地域でボットネットの有害な活動が最も大きな混乱を引き起こしています。
「愛する」から「愛らし」への進化
AIRASHI は AISURU ボットネットから派生したもので、2024 年 8 月に Steam で発生した大規模な DDoS 攻撃で確認されました。この攻撃はゲーム Black Myth: Wukong のリリースと同時期に発生しました。2024 年 9 月に一時的に活動を停止した後、ボットネットはコードネーム「kitty」の更新された機能とともに再登場し、11 月までに AIRASHI としてさらに改良されました。
二重目的ボットネット: AIRASHI-DDoS と AIRASHI-Proxy
AIRASHI は 2 つの異なる形態で運営されています。
- AIRASHI-DDoS : 2024 年 10 月下旬に検出されたこの亜種は、DDoS 攻撃に重点を置いていますが、任意のコマンド実行やリバース シェル アクセスなどの機能も拡張しています。
- AIRASHI-Proxy :2024年12月に発表されたこのバリエーションは、プロキシ機能を追加し、DDoS操作を超えたサービスの多様化を示しています。
通信と暗号化の進歩
安全で効率的な運用を確保するため、AIRASHI は HMAC-SHA256 および CHACHA20 暗号化アルゴリズムを活用した新しいネットワーク プロトコルを採用しています。AIRASHI-DDoS は 13 種類のメッセージ タイプをサポートしていますが、AIRASHI-Proxy は 5 種類のより合理化されたアプローチを採用しています。さらに、ボットネットは DNS クエリを介してコマンド アンド コントロール (C2) サーバーの詳細を取得する方法を動的に調整します。
ボットネットと IoT デバイス: 永続的なサイバー脅威
調査結果から、サイバー犯罪者が IoT デバイスの脆弱性を執拗に悪用していることが明らかになりました。IoT デバイスは、悪意のある攻撃者の侵入口としてだけでなく、強力なボットネットを構築するための基盤としても機能します。これらの侵害されたデバイスを利用することで、脅威の攻撃者は DDoS 攻撃の威力を増幅させ、IoT エコシステムにおけるデバイス セキュリティの強化が極めて重要であることが浮き彫りになりました。
