利益を上げるサイバー犯罪者は、さまざまな種類の攻撃を実行します。 通常、最良の結果を報告するのは、ランサムウェアとフィッシングです。 場合によっては、個別にまたはグループとして、さまざまなデバイスに感染することを目的としてこのマルウェアを生成します。 それらをより効率的にするのは、ルーターやその他のデバイスに未発見の脆弱性が含まれていることです。 しかし、今日起こったことは、すでに存在しているマルウェアのソースコードが公開されているということです。 この記事では、何百万ものルーターと IoT デバイスは、GitHubで公開されているマルウェアソースコードによって侵害されています。
何百万ものルーターやその他のデバイスが危険にさらされている
セキュリティベンダーによると、」 ボテナ号 」には 複数のベンダーの製品の30を超える脆弱性のエクスプロイト Miraiボットネットマルウェアを拡散するために使用されます。 何百万ものルーターとモノのインターネット(IoT)デバイスを標的とするこの危険なマルウェアの作成者は、そのソースコードをGitHubにアップロードしています。 これは、他の犯罪者がツールの新しい亜種をすばやく生成したり、キャンペーンを実行するためにそのまま使用したりできることを意味します。 IPがボットネットの一部であるかどうかを知る方法と、それを回避する方法に興味があるかもしれません。
AT&T Alien Labsの研究者は、このマルウェアを最初に発見し、BotenaGoと名付けました。 このマルウェアは、サイバー犯罪者の間で非常に人気のあるプログラミング言語であるGoで書かれています。 この場合それは来る 多くのブランドに影響を与える30を超える脆弱性のエクスプロイトが満載 、Linksys、D-Link、NETGEAR、および ZTE.
このマルウェアのしくみ
BotenaGoに関しては、脆弱性が悪用されたシステムでリモートシェルコマンドを実行するように設計されています。 昨年 AT&T AlienLabsの分析 最初に、BotenaGoマルウェアが被害者を攻撃するコマンドを受信するためにXNUMXつの異なる方法を使用していることがわかりました。 これらのXNUMXつの手順は次のとおりです。
- 彼らはXNUMXつのバックドアを使用して、ターゲットデバイスのIPアドレスをリッスンおよび受信しました。
- システムI / Oユーザー入力のリスナーを設定し、それを介して宛先情報を受信します。
これらの研究者は、マルウェアがリモートサーバーからコマンドを受信するように設計されており、アクティブなコマンドアンドコントロール通信がないことも発見しました。 したがって、彼らはBotenaGoがより大きなマルウェアパッケージの一部であり、攻撃で使用される複数のツールのXNUMXつである可能性が高いと想定しました。 さらに、ペイロードリンクは、Miraiボットネットマルウェアで使用されているものと類似していることがわかりました。 このことから、BotenaGoはおそらくMiraiオペレーターの新しいツールであると推測できます。
影響を受けるIoTデバイスと数百万のルーター
理由 BotenaGoソースコード GitHub経由でリリースされているかどうかは不明です。 ただし、考えられる結果は推定できます。 The ソースコードの公開により、BotenaGoの亜種が大幅に増える可能性があります 。 その理由は、他のマルウェア作成者が特定の目的や攻撃キャンペーンのためにソースコードを使用および適合させるためです。 これにより、間違いなく何百万ものルーターとIoTデバイスが影響を受けます。 影響を受けるブランドは、これらのコンピューターを保護するために、脆弱性を修正し、対応する更新をできるだけ早くリリースするために一生懸命努力する必要があります。 さらに、BotenaGoペイロードサーバーの4つは、最近発見されたLogXNUMXjの脆弱性の侵入の痕跡リストにも含まれています。
BotenaGoマルウェアに関しては、2,891行のコードのみで構成されており、新しい亜種の出発点として適しています。 また、何百万ものルーターやIoTデバイスの30を超える脆弱性に対するエクスプロイトが満載されていることも、マルウェアの作成者が魅力的だと感じる可能性が高いもうXNUMXつの要因です。 BotenaGoが悪用できる多くの脆弱性の中に、次のものがあります。
- 特定のD-LinkWi-Fiルーターに影響を与えるCVE-2015-2051。
- Netgear製品に影響を与えるCVE-2016-1555、
- Linksysデバイス上のCVE-2013-3307。
- 特定のZTEケーブルモデムに影響を与えるCVE-2014-2321。
最後に、心配な事実は、AT&T Alien Labsによると、現在60のVirusTotalアンチウイルスのうちXNUMXつだけがこのマルウェアを検出できるということです。