脅威データベース マルウェア AryStingerマルウェア

AryStingerマルウェア

AryStingerと名付けられた新たなマルウェアファミリーは、従来のネットワーク機器の侵害に伴う分散型サービス拒否(DDoS)ボットネットとは異なり、放置された家庭用ルーターを大規模な偵察およびプロキシネットワークへと変貌させている。セキュリティ研究者らはすでに少なくとも4,300台の感染ルーターを確認しており、その数は今後も増加すると予想されている。

従来のマルウェア攻撃がサービスの妨害に重点を置くのとは異なり、AryStingerはサイバー侵入の初期段階を支援するように設計されています。感染したデバイスは、インターネットをスキャンし、実行中のサービスを特定し、サブドメインを列挙し、ネットワークトラフィックをトンネル化し、リモートでコマンドを実行してから、収集した情報をオペレーターに送信します。感染したルーターは、偵察ノードと匿名化リレーの両方の役割を効果的に果たし、攻撃者の真の発信元を隠蔽します。

老朽化したハードウェアと長らく忘れ去られていた脆弱性を標的とする

この攻撃キャンペーンは主に、2012年から2015年にかけて広く使用されていたRealtek RTL819Xチップセットを搭載したルーターを標的としている。研究者らは2026年3月12日にこのマルウェアを初めて確認したが、その際の感染は単一のIPアドレスから発生していた。

展開されたマルウェアはLinux ELFバイナリであり、当初はVirusTotal上のすべてのエンジンによる検出を回避していた。このマルウェアは、2つの古い脆弱性を悪用して感染に成功した。

  • CVE-2013-3307は、一部のLinksys製ルーターに影響を与えます。
  • CVE-2016-5681は、特定のD-Link製デバイスに影響を与えます。

感染したシステムのほとんどはD-Link製品で、DIR-850Lモデルが感染例の約75%を占めている。地域別に見ると、感染は韓国(48%)と中国(32%)に集中しており、次いでスウェーデン、マレーシア、シンガポールとなっている。

ルーターを超えた拡張

2026年4月26日、2つ目のマルウェア亜種が出現し、QNAPのマルウェア除去ユーティリティに影響を与えるコードインジェクションの脆弱性CVE-2025-11837を利用して、QNAP NASデバイスを標的とした。この脆弱性は2025年11月に既に修正されていたにもかかわらず、攻撃者は数か月後に悪用を開始した。

皮肉なことに、感染経路はNAS機器に搭載されているマルウェア駆除アプリケーションそのものです。報告されている4,300台のシステム侵害件数には、感染したRTL819Xルーターのみが含まれており、影響を受けたNAS機器は含まれていません。

軽量ながら強力な機能を備えたマルウェア

AryStingerのルーター版はC言語で記述されており、古いハードウェアの限られたリソースを考慮して意図的に軽量化されています。主な機能は、大規模なDNSスキャンとトラフィックトンネリングです。

Go言語で開発されたNAS版は、より幅広い機能を提供します。内部ネットワークと外部ネットワークの両方をスキャンし、fscan、ksubdomain、httpxなどの偵察ユーティリティを展開できます。ScriptWorkと呼ばれる機能により、攻撃者から提供されたGo、Java、またはPythonのソースコードを感染したシステム上で直接実行できるため、ターゲットごとに個別のバイナリをコンパイルする必要がなくなります。

感染したデバイスとコマンド&コントロール(C2)サーバー間の通信は、HTTPおよびHTTPSを介して行われ、Protobufでエンコードされたトラフィックは単純なXORスキームで難読化されます。Goベースのバージョンでは、さらにgzip圧縮が追加されます。大規模なスキャンタスクはより小さなセグメントに分割され、ボットネット全体に分散されるため、並列偵察作戦が可能になります。

持続性と悪用の可能性

このマルウェアは、ルーターのポート2332にDropbear SSHサーバーを、侵害されたNASシステムにgs-netcatを展開することで、長期的なアクセスを維持します。調査官はまた、ハードコードされた認証キー「sh_#@!_2024_secret」を特定しました。このキーに「2024」が含まれていることから、この作戦の開発がその年に始まった可能性が示唆されますが、確証はありません。

偵察が主な目的であるように見えるが、このマルウェアのDNSスキャン機能は、必要に応じてDNSリゾルバにリダイレクトされ、サービス拒否攻撃トラフィックを生成することもできる。

おなじみのパターン:運用中のリレーボックスネットワーク

AryStingerが構築したインフラストラクチャは、オペレーショナルリレーボックス(ORB)ネットワークに酷似している。これらのネットワークは、侵害された耐用年数終了のルーターやIoTデバイスで構成されており、攻撃者が追跡を困難にしながらスキャン操作を実行したり、悪意のあるトラフィックを中継したりすることを可能にする。

この手法は過去の事例を彷彿とさせる。2025年5月、FBIと米国司法省は、TheMoonマルウェアに感染した旧式のLinksysおよびCiscoルーターを悪用して住宅用プロキシアクセスを収益化していた5socksとAnyproxyサービスを摘発した。さらに最近では、LapDogsなどのORB(組織的強盗対策)活動も、同様に旧式デバイスの未修正の脆弱性を利用している。

現時点では、AryStingerは特定の脅威アクターに明確に結び付けられていません。しかし、その運用モデルは明白です。旧式のハードウェアや忘れ去られた脆弱性を巧妙なインフラストラクチャに変換し、高度なサイバー侵入の初期段階を支援しているのです。

検知および軽減戦略

影響を受ける可能性のある機器を運用している組織および個人は、直ちに侵害の兆候を調査し、長期的な修復措置を実施する必要があります。

  • AryStingerのコマンド&コントロールサーバーおよびダウンロードドメインへのアウトバウンド接続を監視します。
  • /tmp/bin ディレクトリを調べて、見慣れないバイナリファイルがないか確認してください。
  • syswapd0h または syswapd0w という名前の不審なプロセスを検索してください。
  • 最も効果的な対策は依然としてシンプルです。ファームウェアのアップデートが提供されなくなったサポート終了済みのネットワーク機器は廃棄し、インターネットに接続された機器のリモート管理は可能な限り無効にすることです。何年も前にセキュリティパッチの提供が停止されたハードウェアは、現代の脅威から保護される可能性は低いでしょう。

    最も見られました

    読み込んでいます...