BotenaGoボットネット
BotenaGoという名前の新しいボットネットが実際に確認されています。この脅威には、何百万もの脆弱なIoT(Internet of Things)デバイスやルーターに感染する可能性があります。実際、脅威のサンプルを分析した後、AT&Tの研究者は、ルーター、モデム、NASデバイスに見られる33を超える脆弱性を悪用できることを発見しました。対象となるマシンには、Dリンクルーター(CVE-2015-2051、CVE-2020-9377、CVE-2016-11021経由)、Realtek SDKベースのルーター(CVE-2019-19824)、ZTEモデム(CVE-2014)などがあります。 -2321)、Netgearデバイス(CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-63340)など。
その名前が示すように、BotenaGoボットネットはGoプログラミング言語を使用して作成されています。 Goは、クロスプラットフォーム機能を提供すると同時に、脅威の検出とリバースエンジニアリングの両方を困難にするため、過去数年間サイバー犯罪者の間で人気を博しています。
機能を脅かす
BotenaGoマルウェアは、標的のデバイスに配備されると、2つの特定のポート(31412と194121)でリッスンルーチンを確立します。脅威は、攻撃者からIPアドレスが提供されるのを待っています。適切なIPを受信すると、BotenaGoは、アクセスを取得するために、その悪用された脆弱性を実行します。その後、いくつかのシェルコマンドを実行して、デバイスをボットネットに追加します。脅威は、いくつかの異なるリンクを介して、ターゲットデバイスに適したペイロードをフェッチします。
まだ運用されていません
研究者はホスティングサーバーからペイロードを取得できず、BotneaGoとそのコマンドアンドコントロール(C2、C&C)サーバー間の通信を検出しませんでした。具体的な説明を行うのに十分なデータはありませんが、infosecの専門家には次の3つのシナリオが考えられます。
- 見つかったBotenaGoボットネットは、多段階のマルウェア攻撃の一部であるいくつかのモジュールのうちの1つにすぎません。
- 脅威は、Miraiオペレーターが使用する新しいツールである可能性があります。この推測は、ペイロードを配信するために使用されるいくつかのリンクによってサポートされています。
- C2通信の欠如は、BotenaGoがまだ展開の準備ができておらず、研究者によってキャプチャされたサンプルが誤って野生にリリースされたことを示している可能性があります。
ユーザーと企業は、脅威のIoC(侵入の痕跡)に注意し、十分な対策を講じる必要があります。
