複数ライセンス割引見積
脅威データベース ボットネット PolarEdgeボットネット

PolarEdgeボットネット

ボットネットMezoまで
翻訳内容:

セキュリティ研究者は最近、「PolarEdge」と呼ばれるルーターを標的としたボットネットファミリーの仕組みを解明しました。TLSベースの通信、埋め込まれた設定トリック、そして意図的な分析回避策の組み合わせにより、PolarEdgeは家庭や中小企業のネットワーク機器にとって注目すべき脅威となっています。

タイムラインと発見

研究者は2025年2月にPolarEdgeを初めて記録し、複数のベンダーのルーターやNASデバイスを標的としたキャンペーンとの関連性を明らかにしました。2025年8月までに、アナリストはボットネットのインフラストラクチャの大部分をマッピングし、Operational Relay Box(ORB)型のネットワークに一致する特徴を観察しました。過去のテレメトリによると、PolarEdgeの活動の一部は2023年6月まで遡る可能性があることが示唆されています。

ターゲットと初期アクセス

Cisco、ASUS、QNAP、Synology などの主要ベンダーのデバイスがターゲットとして特定されており、エンタープライズグレードとコンシューマーグレードの両方のルーターと NAS システムが悪用される危険性があることが明らかになっています。

2025年2月の攻撃チェーンでは、脅威アクターが既知のシスコの脆弱性(CVE-2023-20118)を悪用し、「q」という名前のFTP配信の小さなシェルスクリプトを取得しました。このスクリプトの役割は、侵害されたホスト上でPolarEdge ELFバックドアを取得して起動することでした。

コアインプラント設計

PolarEdge は、主に次の機能を備えた TLS 対応 ELF インプラントです。

  • ホストの指紋をコマンドアンドコントロール(C2)サーバーに送信し、
  • mbedTLS v2.8.0 を使用して実装された組み込み TLS サーバー経由でコマンドを待機します。

インプラントのデフォルトの動作は、カスタムバイナリプロトコルを使用してTLSサーバーとして機能することです。重要なプロトコルフィールドの1つはHasCommandです。このフィールドがASCII文字の1と等しい場合、インプラントはCommandフィールドを読み取り、指定されたコマンドをローカルで実行し、生のコマンド出力をC2に返します。

動作モード

PolarEdge は次の 2 つの追加モードをサポートしています。

コネクトバック モード: インプラントは TLS クライアントとして動作し、リモート サーバーからファイルを取得します。

デバッグ モード: オペレーターが構成パラメータ (サーバー アドレスなど) を即座に変更できる対話型モード。

埋め込み構成と難読化

ボットネットは、ELFイメージの最後の512バイトにランタイム設定を保存します。このブロックは1バイトのXORで難読化されており、研究者らはXORキーが0x11であると報告しており、設定を復元するにはこのキーを適用する必要があるとしています。

ファイル操作

実行後、インプラントはファイルシステムの移動と削除を実行します(例:/usr/bin/wget や /sbin/curl などのバイナリの移動、/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak などのファイルの削除)。これらのアクションの背後にある正確な動作意図は、入手可能なデータからは完全には解明されていません。

回避および分析対策技術

PolarEdge には、検出を回避し分析を妨害するように設計されたさまざまな高度な防御メカニズムが組み込まれているため、セキュリティ研究者や自動化ツールがその動作を特定し、内部の仕組みを分析することが困難になっています。

難読化により、TLS サーバーの初期化とフィンガープリント ルーチンの詳細を隠します。

起動時にプロセス マスカレードを実行し、組み込みリストからプロセス名をランダムに選択して、正当なシステム サービスに溶け込みます。

考えられる名前には次のようなものがあります。

  • igmpプロキシ
  • wscd
  • /sbin/dhcpd
  • httpd
  • アップnpd
  • iアプリ

古典的な持続性のない回復力

PolarEdge は、再起動後も存続する従来の永続化メカニズムをインストールしていないようです。代わりに、ランタイムトリックを実行します。つまり、子プロセスがフォークし、30秒ごとにポーリングして親プロセスの /proc/ ディレクトリが存在するかどうかを確認します。このディレクトリが消失した場合(親プロセスが消滅したことを示します)、子プロセスはシェルコマンドを実行してバックドアを再起動します。これにより、ブート時の永続的な永続化ではなく、状況に応じてランタイムリカバリが行われます。

守備のテイクアウト

ルーターやNASデバイスを管理する組織は、CVE-2023-20118などのリモート実行脆弱性に対するベンダーのアップデートと緩和策を確実に適用する必要があります。ネットワークアプライアンスからの異常なTLSアクティビティや、想定外のホストへのアウトバウンド接続を積極的に監視する必要があります。また、プロセスマスカレードの兆候や、ネットワークバイナリやWebスクリプトの不正な変更や削除にも同様に注意することが重要です。


トレンド

TechBrowser

Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
情報セキュリティ研究者による評価の結果、TechBrowser アプリケーションはアドウェアのカテゴリに分類されることが判明しました。この分類は、煩わしい広告を表示する機能に基づいています。さらに、特定のユーザーデータにアクセスして収集する機能に関して懸念が提起されています。 TechBrowser は主に Mac ユーザーを対象としています。そのため、ユーザーは TechBrowser を...

American Express - サインイン試行がブロックされました詐欺

フィッシング, スパム
サイバー犯罪者は、信頼できるブランドの認知度を悪用し、疑いを持たないユーザーを誘い込み、機密情報を漏らさせようとすることがよくあります。「American Express - サインイン試行がブロックされました」という詐欺は、この戦術の好例です。これらのメールは、American Expressからのセキュリティアラートを装い、不審なサインイン試行がブロックされたと主張し、受信者に直ちに行動を起こすよう促します。 これらのメッセージは完全に詐欺であることを理解することが重要です。American Expressや正当な企業、組織、サービスプロバイダーとは一切関係がありません。これらの詐欺...

SNSランサムウェア

ランサムウェア
ランサムウェアは、個人や組織が直面する最も破壊的なサイバー脅威の一つであり続けています。これらの悪意あるプログラムは、データを乗っ取り、金銭を要求し、さらには盗んだ情報を漏洩すると脅迫することもあります。適切なセキュリティ対策でデバイスを保護することは、プライバシー、事業継続性、そして財務の安定を維持するために不可欠であるだけでなく、極めて重要になっています。この脅威の増大を示す顕著な例の一...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
53,251
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
40,663
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
38,930
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...