Gayfemboy という名前の Mirai ベースのボットネットは世界的なサイバーセキュリティの脅威となっており、毎日 15,000 台以上のデバイスに感染しています。弱いセキュリティ慣行、既知の脆弱性、産業用ルーターの重大なゼロデイ欠陥の組み合わせを悪用します。
Chainxin X Lab のボットネットは、Four-Faith、Huawei、ASUS 製などの IoT デバイスや産業用ルーターをターゲットとしています。 。研究者らは、この急速な蔓延は、これまで知られていなかった脆弱性である CVE-2024-12856 の悪用と関連付けています。
ボットネットのオペレーターは、Telnet パスワードに対するブルート フォース攻撃とカスタマイズされた UPX パッキングを活用する高度な技術を採用しています。ペイロードを隠します。 VulnCheck によると、これらの攻撃の中心となる脆弱性は 2024 年 11 月から積極的に悪用されています。攻撃者がリモート コマンドを実行してデバイスを制御できるようになります。
脅威の増大は、産業分野でのパッチ未適用のデバイスと不十分なサイバーセキュリティ慣行のリスクを示しています
Four-Faith Router脆弱性
CVE-2024-12856 として識別される Four-Faith ルーターの脆弱性は、攻撃者がルーターの apply.cgi エンドポイントを通じて任意のコマンドを実行できるようにするコマンド インジェクションの欠陥です。
デフォルトの管理資格情報に依存して認証をバイパスし、デバイスを制御します。 VulnCheck はこの欠陥を「攻撃者にリモート アクセスを提供し、悪意のあるペイロードを起動して標的のシステムを破壊できるようにする問題」と説明しています。
この脆弱性の悪用は主に F3x24 および F3x36 ルーター モデルに影響を与えています。
Chainxin X Lab は、ボットネットがこれらのデバイスをターゲットにするだけでなく、Neterbit などの他のルーターの脆弱性も利用していることを発見しました。さらに、Vimar 製などのスマート ホーム デバイスを悪用し、未知の脆弱性を利用してさらに拡散することが観察されています。
拡散の背後にある手口
Gayfemboy ボットネットのオペレーターは、確立された高度な技術を組み合わせてデバイスに感染し、ネットワークを維持します。主な方法の 1 つは、総当たり攻撃による Telnet 認証情報です。
Telnet は、依然として多くの IoT デバイスで広く使用されているレガシー プロトコルですが、多くの場合、デフォルトのユーザー名とパスワードでセキュリティが確保されていないため、攻撃者にとって簡単な侵入ポイントとなります。侵害されると、デバイスはハードウェア特性に基づいてグループ化され、コマンド アンド コントロール (C2) インフラストラクチャ経由で制御されます。
ボットネットのアプローチのもう 1 つの重要な側面は、カスタマイズされた UPX パッキングの使用です。 UPX、または Ultimate Packer for Executables は、実行可能ファイルのサイズを削減する圧縮ツールです。マルウェア開発者は、ウイルス対策ソフトウェアによる検出を回避するために UPX シグネチャを変更することがよくあり、Gayfemboy オペレータはこの手法を実装して大きな効果を上げています。
このボットネットは、さまざまなデバイスの 20 以上の既知の脆弱性にも依存しています。たとえば、Huawei ルーターの CVE-2017-17215 や CVE-2024-8957 href=”https://en.wikipedia.org/wiki/Pan–tilt–zoom_camera”>パン・チルト・ズーム (PTZ) カメラのシステムを侵害します。この脆弱性の宝庫と、新しいエクスプロイトを迅速に統合する能力により、Gayfemboy は現在運用されている中で最も適応性が高く危険なボットネットの 1 つとなっています。
報復行為と世界的な標的
ボットネットは研究者に対して攻撃的な姿勢を示しています。ある例では、Chainxin X Lab はボットネットの活動を観察するために、ボットネットに関連付けられた未使用のコマンド アンド コントロール ドメインを登録しました。
これに応じて、Gayfemboy オペレーターはこれらのドメインに対して直接 DDoS 攻撃を開始し、研究者のインフラストラクチャを混乱させました。この動作は、ボットネット オペレーターの洗練さと敵意を示しています。
感染の地理的分布は、中国、米国、ロシア、トルコ、イランなどの主要地域に広がっています。攻撃ログによれば、このボットネットは 100 Gbps を超える DDoS トラフィックを生成し、堅牢な防御をも圧倒する能力があることが示されています。
画像: Chainxin X Lab
攻撃は多くの場合短時間であり、10 分から 10 時間続きます。 30 秒間かかると、特に通信や産業システムなどの重要な分野で重大な混乱を引き起こす可能性があります。
産業用ルーターと IoT デバイスの役割
産業用ルーターFour-Faith 製のようなデバイスは、エネルギー、製造、物流などの分野でネットワーク トラフィックを管理し、信頼性の高い通信を確保する上で重要な役割を果たしています。
これらのデバイスの悪用は、サイバーセキュリティにおける差し迫った問題、つまり重要な環境に導入されたデバイスに対する堅牢なセキュリティ対策の欠如を浮き彫りにします。スマート ホーム デバイスは、規模は小さいものの、同様に脆弱なカテゴリであり、攻撃者はその遍在性を利用して操作を拡大します。
Chainxin X Lab が指摘したように、「ボットネットは毎日何百もの異なるエンティティをターゲットにしています。攻撃対象は世界中に広がり、さまざまな業界をカバーしています。主な攻撃目標は、中国、米国、ドイツ、英国、シンガポールなどの地域に集中しています。」
緩和戦略
サイバーセキュリティの専門家は、ファームウェアの定期的な更新、デフォルトの認証情報の置き換え、脆弱なデバイスを隔離するためのネットワークセグメンテーションの実装など、事前対策によって IoT および産業用デバイスを保護することの重要性を強調しています。また、組織には、異常を検出して脅威に対応できる監視ツールを導入することも推奨されています。で
VulnCheck は、影響を受けるユーザーにメーカーが提供するパッチを直ちに適用するか、利用できない場合は公開されたエンドポイントを無効にして、より厳格なアクセス制御を採用することを推奨しています。サイバー脅威が進化するにつれ、業界関係者はさらなる悪用を防ぐためにセキュリティを優先する必要があります。
