Nexcorium Botnet
サイバーセキュリティ調査により、攻撃者がTBK製DVRシステムとサポート終了となったTP-Link製Wi-Fiルーターのセキュリティ上の脆弱性を悪用し、Miraiボットネットの亜種を展開していることが明らかになった。これらのデバイスは、セキュリティ戦略において見落とされがちだが、ファームウェアの旧式化、設定の脆弱性、パッチ適用頻度の低さなどから、攻撃者にとって魅力的な侵入経路となっている。さらに、これらのデバイスが広く普及していることが、大規模サイバー攻撃における標的としての価値を高めている。
目次
既知の脆弱性を悪用して初期アクセスを行う
TBK DVRデバイスを標的とした今回の攻撃キャンペーンは、DVR-4104およびDVR-4216モデルに影響を与える中程度の深刻度(CVSSスコア:6.3)のコマンドインジェクション脆弱性であるCVE-2024-3721を悪用しています。攻撃者はこの脆弱性を悪用し、Nexcoriumと呼ばれるMiraiベースのペイロードを配信します。この脆弱性は過去のキャンペーンでも見過ごされておらず、Miraiの亜種と新興のRondoDoxボットネットの両方を展開するために以前から利用されていました。
さらに、これまでの研究では、ルーター、IoTデバイス、エンタープライズアプリケーション全体にわたる脆弱な認証情報や旧来の脆弱性を悪用することで、RondoDox、Mirai、Morteなどの複数のマルウェアファミリーを拡散する役割を担う、ローダー・アズ・ア・サービスのエコシステムが明らかになっている。
感染経路とペイロード展開
攻撃シーケンスは、DVRの脆弱性を悪用してダウンローダースクリプトをデプロイすることから始まります。このスクリプトは、ターゲットシステムのLinuxアーキテクチャを識別し、適切なボットネットペイロードを実行します。マルウェアは起動後、制御が確立されたことを示すメッセージを表示することで、侵害を知らせます。
Nexcoriumは、従来のMirai亜種の構造設計を踏襲しており、エンコードされた構成データ、システム監視メカニズム、および分散型サービス拒否攻撃を実行するための専用モジュールを組み込んでいる。
横方向の動きと持続力のテクニック
このマルウェアは、Huawei HG532デバイスを標的としたCVE-2017-17215などの脆弱性を悪用することで、ネットワーク内での攻撃範囲を拡大します。また、埋め込まれた認証情報リストを用いたブルートフォース攻撃によって、Telnetアクセスを介して他のシステムを侵害します。
アクセスが確立されると、マルウェアはいくつかの動作を実行します。
- 侵害されたホスト上でシェルセッションを確立する
- crontabとsystemdサービスを使用して永続性を設定します。
- 指示を受けるために遠隔のコマンド&コントロールサーバーに接続します。
- フォレンジック調査の可視性を低減するために、元のバイナリを削除します。
これらの手順により、継続的な管理が確保されるとともに、検出および分析される可能性が最小限に抑えられます。
ボットネットの機能と運用上の影響
永続性を確保した後、Nexcoriumは攻撃者が複数のプロトコルを使用してさまざまなDDoS攻撃を実行できるようにします。これには以下が含まれます。
UDP
TCP
SMTP
このマルチベクター機能により、柔軟かつ影響力の大きい攻撃シナリオが可能となり、ボットネットは標的となるインフラにとって重大な脅威となる。
持続的な脅威の状況と将来のリスク
Nexcoriumは、IoTに特化したボットネットの進化を象徴する存在であり、エクスプロイトの再利用、アーキテクチャ間の互換性、そして堅牢な永続化メカニズムを兼ね備えています。既知の脆弱性を巧みに利用し、攻撃的なブルートフォース戦術を駆使することで、高い適応性を実現しています。
デフォルトの認証情報とパッチ未適用デバイスへの依存が続く限り、IoTエコシステムは重大な脆弱性を抱え続けることになるでしょう。デバイスのセキュリティ対策が大幅に改善されない限り、これらのシステムは大規模なボットネット活動を助長し、グローバルネットワークの安定性を阻害し続けるでしょう。
