解き放たれた混沌: Condi マルウェアが TP-Link Wi-Fi ルーターを制御し、壊滅的な DDoS ボットネット攻撃を行う

新たに発見されたマルウェア Condi は、TP-Link Archer AX21 (AX1800) Wi-Fi ルーターのセキュリティ脆弱性を悪用し、重大な脅威として浮上しました。その主な目的は、これらの侵害されたデバイスを利用して、強力な分散型サービス拒否 (DDoS) ボットネットに組み立てることです。研究者らは、2023年5月の終了以来、キャンペーンの激しさが急激に高まっていることに注目している。

コンディの背後にいるのは誰ですか?

Condi の背後にある首謀者は、オンライン モニカzxcr9999で知られる個人であり、テレグラム チャネル Condi Network を通じて違法な活動を積極的に推進しています。 2022 年 5 月以降、この攻撃者はサービスとしての DDoS を提供し、さらにはマルウェアのソース コードを販売することでボットネットを収益化しています。セキュリティ研究者はこのマルウェアを徹底的に分析し、同じホスト上で競合するボットネットを排除するマルウェアの能力を明らかにしました。ただし、Condi には永続化メカニズムがないため、システムの再起動後に存続できなくなります。

システムの再起動後の永続性の制限を克服するために、Condi は、システムのシャットダウンまたは再起動に関与する複数のバイナリを削除することでアクションを実行します。これらのバイナリには、/usr/sbin/reboot、/usr/bin/reboot、/usr/sbin/shutdown、/usr/bin/shutdown、/usr/sbin/poweroff、/usr/bin/poweroff、/usr/sbin/ が含まれます。停止、および /usr/bin/halt。 Mirai ボットネットが以前に対象の脆弱性を悪用していたことは注目に値します。

他の広く蔓延しているマルウェアとは対照的に、Condi はスキャナー モジュールを利用して、CVE-2023-1389 (CVSS スコア: 8.8) に対して脆弱な TP-Link Archer AX21 ルーターを特定します。 Condi は、一部のボットネットのようなブルート フォース攻撃を使用するのではなく、リモート サーバーから取得したシェル スクリプトを実行して、特定されたデバイスにマルウェアを配置します。

セキュリティ アナリストによると、Condi の複数のインスタンスが出現し、さまざまな既知のセキュリティ脆弱性を悪用して拡散しています。これは、パッチが適用されていないソフトウェアを実行しているデバイスが、このボットネット マルウェアの標的になりやすいことを示しています。積極的な収益化戦略とは別に、Condi の主な目的は、デバイスを侵害し、強力な DDoS ボットネットを確立することです。このボットネットは他の攻撃者に貸し出され、標的の Web サイトやサービスに対して TCP および UDP フラッド攻撃を開始できるようになります。

安全で安定したデジタル エコシステムを維持するには、ボットネットを無力化することが最も重要です。 Condi マルウェアなどのボットネットは、パッチが適用されていないソフトウェアの脆弱性を悪用し、侵害されたデバイスのネットワークを DDoS 攻撃などの有害な活動に利用する可能性があります。これらの攻撃はオンライン サービスを混乱させ、重要なインフラストラクチャの完全性と可用性を著しく脅かします。個人、組織、セキュリティ専門家は常に警戒し、ソフトウェアを最新の状態に保ち、堅牢なセキュリティ対策を採用してボットネットの脅威を検出して軽減する必要があります。ボットネットを積極的に無力化することで、デジタル環境を保護し、すべてのユーザーにとってより安全なオンライン環境に貢献できます。