悪名高い Mirai ボットネットが研究者らによって発見され、今度は「積極的に更新されたエクスプロイトの武器」を携えて再び活発化していると報告されている。
これは数か月ぶりの IZ1H9 Mirai 亜種へのメジャーアップデートであり、D-Link や Zyxel などのデバイスに侵入するためのツールが強化されています。
セキュリティベンダーのフォーティネット傘下のチーム、フォーティガード・ラボの研究者らは、活動が9月にピークを迎え、一部のデバイスでは毎日数万件もの侵入の試みがあったと発表した。
「これは、多数のCVEを網羅する最近公開されたエクスプロイトコードを迅速に利用することで、脆弱なデバイスに感染し、ボットネットを劇的に拡大するキャンペーンの能力を浮き彫りにしている」と研究者らは述べた。
Mirai の最新波による脅威は、攻撃の規模と、影響を受ける Linux ベースのデバイスがリモート制御される可能性があることから、FortiGuard Labs によって「重大」な深刻度と評価されました。
Miraiに、2015年から2021年の間に発見された4つの異なるD-Linkの脆弱性を悪用する機能が追加されました。これらの脆弱性はいずれもCVSSでほぼ最大の9.8という深刻度を示しており、その古さを考えると、本来であれば既にパッチが適用されているはずでしたが、業界全体でパッチ適用への関心が薄れており、問題の深刻さが脅威を浮き彫りにしています。
Miraiが現在悪用可能なD-Linkの4つの脆弱性のうちの1つであるCVE-2016-20017の積極的な悪用は、昨年のZerobotキャンペーンにおいてMicrosoftによって確認されました。攻撃が成功すると、攻撃者は特別に細工したリクエストを使用してリモートからコマンドを挿入できるようになります。
2021 年に発生した 11 件の脆弱性も追加され、Sunhillo SureLine ソフトウェア (バージョン 8.7.0.1.1 以前)、Geutebruck のビデオ管理製品、および Yealink Device Management 3.6.0.20 の悪用が容易になりました。
画像提供:フォーティネット
最新の2つの脆弱性は2023年に確認され、CVSSの深刻度評価は8.8です。1つ目の脆弱性(CVE-2023-1389)はTP-Link Archer AX21ルーターに影響し、CVE-2023-23295はKorenix JetWave産業用無線アクセスポイントに影響します。
Miraiは2022年から存在する12の脆弱性を悪用してTOTOLINKルーターに侵入することが可能となり、研究者らは謎の目的を持つペイロードを1つ特定した。
「同様の脆弱性がProlink PRC2402Mルーターにも影響するが、リモートコード実行を実現するためのパラメータがいくつか欠けている」と研究者らは述べた。
「IZ1H9攻撃がこのペイロードを悪用したのか、それとも他のデバイスを標的にするつもりだったのかは不明だ。」
FortiGuard LabsはThe Registerに対し、攻撃がどれだけ成功したかは判断できないと語った。同社のテレメトリには、アラートを生成した攻撃の数しか示されていない。
テレメトリの性質上、攻撃が成功したかどうかについては何も言えません。なぜなら、それは当社のデバイスが攻撃を検知していないことを意味するからです。これらの攻撃は検知されているため、攻撃が成功した場合、FortiGateが存在しない別の経路を通る必要があると考えられます。
- リベルテ、エガリテ、スパイウェア:フランス、警官による電話の覗き見を容認
- 修正済みのバグ2件(どちらも実際に悪用された)に関する(警告的な)物語
- Miraiボットネットはパッチ未適用のTP-Linkルーターを悪用する傾向があるとCISAが警告
- 連邦捜査局、ウクライナ人がPCを襲撃するRaccoonマルウェアを悪者に貸し出していたと告発
Mirai マルウェアは数年前に登場し、2016 年に初めてその名を知られるようになりました。そのきっかけとなったのは、このマルウェアが作成したボットネット (通称「Mirai ボットネット」) が、当時史上最大の DDoS 攻撃とみなされた攻撃の原因であるとされたことです。
それ以来、ボットネットを破壊しようとする試みは何度も行われましたが、最終的には失敗に終わりました。作成者が法執行機関に逮捕された後、サイバー犯罪者はMiraiのオープンソースコードを利用して、IZ1H9のようなボットネットの亜種を作成しました。
Mirai は時間の経過とともに、消費者向けテクノロジーをターゲットにすることから Linux ベースのエンタープライズ IoT デバイスへと進化し、その機能と範囲を拡大してきました。
Mirai は長年にわたり活動を続けてきましたが、2016 年に大々的に報道されて以来、サイバー犯罪の分野に同様の重大な影響を与えることができていません。®
