複数ライセンス割引見積
脅威データベース ボットネット Kimwolfボットネットキャンペーン

Kimwolfボットネットキャンペーン

ボットネットMezoまで
翻訳内容:

セキュリティ研究者らは、Android端末を標的とした大規模なボットネット「Kimwolf」を発見しました。このボットネットは、家庭用プロキシネットワークを悪用し、200万台以上のデバイスに侵入しています。このマルウェアは、一般消費者が日常的に利用するハードウェアをグローバルな攻撃プラットフォームへと変貌させ、悪意のあるトラフィックを密かにルーティングすることで、大規模な分散型サービス拒否(DDoS)攻撃を可能にします。観測によると、毎週約1,200万のユニークIPアドレスが攻撃対象となっており、この攻撃の規模の大きさが浮き彫りになっています。

起源、進化、そしてAISURUとのつながり

Kimwolfが初めて公開されたのは2025年12月で、調査員はAISURUと呼ばれる別のボットネットとの技術的およびインフラ的な強い関連性を特定しました。証拠によると、Kimwolfは少なくとも2025年8月から活動しており、AISURUのAndroidベースの進化形と考えられます。研究者の間では、昨年末に観測された記録破りのDDoS攻撃キャンペーンのいくつかは、このボットネットが原動力となっていたとの見方が高まっています。

世界的な感染の足跡と標的デバイス

Kimwolfは世界中に存在していますが、感染はベトナム、ブラジル、インド、サウジアラビアに集中しています。侵害されたシステムの大部分は非公式のAndroidスマートテレビやセットトップボックスであり、その多くは安全でないデフォルト設定で出荷されています。

接続されたデバイスの少なくとも67%は、認証されていないAndroid Debug Bridge(ADB)サービスを公開しており、リモート制御の脅威にさらされています。調査担当者は、これらの製品の多くは、消費者に届く前にプロキシ関連のソフトウェア開発キット(SDK)がプリロードされており、実質的にプロキシエコシステムに組み入れられ、後にマルウェアの配信経路となる可能性があると疑っています。

キムウルフの拡散と支配の維持方法

Kimwolfの攻撃者は、大規模な住宅用プロキシネットワークを利用してインターネットをスキャンし、公開されているADBサービスを実行しているAndroidデバイスを探します。特定されると、マルウェアがリモートからインストールされ、デバイスはトラフィック中継および攻撃ノードになります。コアペイロードはポート40860でリスナーを開き、85.234.91[.]247:1337へのアウトバウンド通信を確立し、そこから操作コマンドを受信します。

2025年12月というごく最近の事例では、感染は中国に拠点を置くIPIDEAからレンタルされたプロキシIPアドレスにまで遡る形で発生していました。IPIDEAは、1日あたり610万以上のIPアドレス更新と69,000件の新規アドレスを擁する世界有数のIPプロキシサービスを自称するプロバイダーです。12月27日、IPIDEAは、攻撃者が顧客がインストールしたプロキシソフトウェアを経由してトンネリングを行い、社内デバイスにアクセスしているという証拠が明らかになったことを受け、ローカルネットワークと機密ポートへのアクセスをブロックするセキュリティアップデートを導入しました。

この技術によって生じた脆弱性は前例のないものであり、何百万もの消費者システムが直接、自動化された攻撃の標的となるとアナリストらは評しています。

収益化:プロキシ、ペイロード、有料攻撃

キムウルフの金銭的動機は当初から明らかでした。彼らはインフラを積極的に商業化し、侵害したデバイスを複数のチャネルを通じて収益を生み出す資産に変えていました。

  • 住宅用プロキシ アクセスの販売。無制限の帯域幅で 1 GB あたり 0.20 ドル、または月額約 1,400 ドルという低価格で宣伝され、複数のプロキシ サービスで早期採用が促進されました。
  • 二次的な収益化 SDK の展開。最も注目すべきは、有料プロキシ タスクをコマンド サーバーから 119 台の専用リレー サーバー経由で感染したデバイスにルーティングする Plainproxies Byteconnect SDK です。
  • 大規模な DDoS 活動や、IMAP サービスや一般的なオンライン プラットフォームに対する認証情報の盗用キャンペーンなど、ボットネットを悪用したサイバー犯罪活動。

感染済みの TV ボックスの存在と商用帯域幅共有 SDK の統合は、ボットネット運営者とプロキシ経済の各セグメント間の連携が深まっていることを強く示唆しています。

防御策とリスク軽減

同様の脅威を軽減するには、サービス プロバイダーとエンド ユーザー環境の両方で協調的なアクションが必要です。

  • プロキシ ネットワークは、RFC 1918 アドレス範囲宛てのトラフィックをブロックし、外部の顧客が消費者のデバイスが存在する内部のプライベート ネットワークにアクセスできないようにする必要があります。
  • 組織や個人は、Android システム、特に安全でないデフォルト設定で出荷されることが多い組み込みデバイスや IoT スタイルのデバイスにおける認証されていない ADB アクセスを無効にするか制限する必要があります。

これらの制御がなければ、住宅プロキシ エコシステムは、大規模なマルウェアの展開とボットネットの拡大にとって理想的な隠れ場所を提供し続けることになります。

トレンド

Aviciエアドロップ詐欺

不正なウェブサイト
ウェブ閲覧中に常に注意を払うことはもはやオプションではなく、必須事項です。サイバー犯罪者は戦術を絶えず洗練させ、正規のサービスを模倣した説得力のあるウェブサイトやキャンペーンを構築しています。最近の例としては、Avici Airdrop詐欺が挙げられます。これは、特に無防備なユーザーから暗号通貨を盗むために設計されたことが確認されています。 Avici エアドロップ詐欺とは何ですか? get...

Kimwolfボットネットキャンペーン

ボットネット
セキュリティ研究者らは、Android端末を標的とした大規模なボットネット「Kimwolf」を発見しました。このボットネットは、家庭用プロキシネットワークを悪用し、200万台以上のデバイスに侵入しています。このマルウェアは、一般消費者が日常的に利用するハードウェアをグローバルな攻撃プラットフォームへと変貌させ、悪意のあるトラフィックを密かにルーティングすることで、大規模な分散型サービス拒否(DDoS)攻撃を可能にします。観測によると、毎週約1,200万のユニークIPアドレスが攻撃対象となっており、この攻撃の規模の大きさが浮き彫りになっています。 起源、進化、そしてAISURUとのつながり...

Myrmecophaga Tridactyla

望ましくない可能性のあるプログラム
最近、Myrmecophaga Tridactyla という名前のブラウザ拡張機能および迷惑プログラム (PUP) が、インターネット ユーザーの間で懸念の原因として浮上しています。 Myrmecophaga Tridactyla はブラウザ拡張機能とも呼ばれ、インストールされると Web ブラウザのセキュリティとパフォーマンスを著しく損なう可能性がある潜在的に有害なソフトウェアです。特に、...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
46,391
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
35,015
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,785
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
読み込んでいます...