複数ライセンス割引見積
コンピュータセキュリティ Mirai ボットネットの派生組織が世界規模の DDoS 攻撃の波を巻き起こす

Mirai ボットネットの派生組織が世界規模の DDoS 攻撃の波を巻き起こす

コンピュータセキュリティMuraまで
翻訳内容:
日本語

Mirai ボットネットの派生 2 つが、世界中で攻撃的な分散型サービス拒否 (DDoS)攻撃キャンペーンを開始し、モノのインターネット (IoT) デバイスの脆弱性を狙い、脆弱な認証情報を悪用しています。このキャンペーンは、悪名高いデビューから 10 年近く経った今でも強力なサイバー兵器であり続ける Mirai ベースのマルウェアがもたらす永続的な脅威を浮き彫りにしています。

Mirai の進化: IoT セキュリティに対する永続的な脅威

Mirai ボットネットは、長い間、IoT デバイスに内在する脆弱性の象徴となってきました。2016 年にソース コードが漏洩して以来、Mirai は数え切れないほど多くの亜種を生み出し、それぞれが元のマルウェアの破壊的な機能を基に構築されてきました。最近、Mirai 由来のマルウェアを利用して IoT デバイスを侵害し、世界規模の DDoS 攻撃を仕掛ける 2 つの明確なキャンペーンが出現しました。

キャンペーン 1: Murdoc ボットネット

アクティブなキャンペーンの 1 つである Murdoc ボットネットは、Avtech カメラや Huawei HG532 ルーターなどの IoT デバイスの特定の脆弱性を悪用する Mirai マルウェアを配信しています。Qualys の研究者によると、このボットネットは次のような既知のエクスプロイトを利用しています。

  • CVE-2024-7029 : Avtech カメラの認証バイパスの脆弱性により、攻撃者がリモートでコマンドを挿入できるようになります。
  • CVE-2017-17215 : Huawei ルーターのリモート コード実行 (RCE) の脆弱性。

Murdoc ボットネットは 2024 年 7 月に運用を開始し、それ以来、主にマレーシア、タイ、メキシコ、インドネシアの 1,300 を超える IP を侵害してきました。研究者は、ボットネットにリンクされた 100 を超える個別のサーバー セットを発見しました。各サーバー セットは、感染したデバイスの管理とさらなる攻撃の調整を担っています。

このマルウェアは ELF およびシェル スクリプト ファイルを通じてデバイスに侵入し、Mirai マルウェアの亜種をインストールするために使用されます。感染したデバイスは、大規模な DDoS 攻撃に利用され、強力なグローバル ボットネット ネットワークを形成します。

キャンペーン 2: グローバル組織を狙うハイブリッド マルウェア

2 つ目のキャンペーンでは、Mirai と Bashlite の両方から派生したマルウェアが利用され、北米、ヨーロッパ、アジアの組織が標的にされました。トレンドマイクロの研究者は、大規模な DDoS 攻撃が最初に日本の企業や銀行に影響を与え、その後世界中に広がったことを確認しました。

攻撃ベクトルと標的デバイス

攻撃者は、次のような広く使用されている IoT デバイスのセキュリティ上の欠陥と弱い認証情報を悪用することに重点を置いていました。

  • TP-Linkルーター
  • Zyxel ルーター
  • Hikvision IPカメラ

このマルウェアは、リモート コード実行の脆弱性と脆弱なパスワードを悪用してアクセスし、スクリプトをダウンロードしてデバイスを侵害しました。この世界的な活動では、主に 2 種類の DDoS 攻撃が採用されています。

  1. ネットワーク オーバーロード攻撃: 大量のデータ パケットをネットワークに送りつけて帯域幅を圧迫します。
  2. リソース枯渇攻撃: 多数のセッションを作成してサーバーのリソースを枯渇させます。

場合によっては、攻撃者は両方の方法を組み合わせて被害を最大化し、被害地域に大きな混乱を引き起こしました。

防御策: Mirai ボットネットの影響を軽減する

Mirai ベースのキャンペーンの再燃により、組織が DDoS 攻撃に対する防御を強化する必要性が浮き彫りになりました。Qualys と Trend Micro の研究者は、これらの脅威に対抗するための重要な推奨事項を提供しています。

一般的なベストプラクティス

  1. 疑わしいアクティビティを監視する: プロセス、イベント、ネットワーク トラフィックを定期的に追跡して、侵害の兆候がないか確認します。
  2. 信頼できないソースを避ける: 不明なソースからのシェル スクリプトやバイナリの実行は控えてください。
  3. IoT デバイスの強化: デバイスが最新のファームウェアに更新され、強力で一意のパスワードが設定されていることを確認します。

ネットワーク過負荷攻撃の軽減

  • ファイアウォールまたはルーターを使用して、悪意のある IP アドレスをブロックし、不要なトラフィックを制限します。
  • インターネット サービス プロバイダーと協力して、ネットワーク エッジで DDoS トラフィックをフィルターします。
  • より多くのパケット量を処理できるようにルーターのハードウェアをアップグレードします。

リソース枯渇攻撃の緩和

  • 特定の IP アドレスからのリクエストの数を制限するためにレート制限を実装します。
  • サードパーティの DDoS 保護サービスを使用して、悪意のあるトラフィックをフィルタリングします。
  • 接続をリアルタイムで継続的に監視し、過剰なアクティビティのある IP をブロックします。

ミライの永続的な遺産

これらの最新の Mirai ボットネット キャンペーンは、保護されていない IoT デバイスがもたらすリスクをはっきりと思い出させるものです。攻撃者が戦術を洗練させ、IoT の脆弱性を悪用し続ける中、組織は警戒を怠らず、積極的に行動し、DDoS 攻撃のリスクを軽減する準備をする必要があります。堅牢なセキュリティ対策を採用し、サイバーセキュリティ関係者間の連携を促進することで、これらの永続的な脅威の影響を軽減できます。

読み込んでいます...