Aquabot ボットネット: DDoS 脅威の新たな一角
Table of Contents
Aquabot ボットネットを理解する
Aquabot はMirai フレームワーク上に構築されたボットネットです。Mirai フレームワークは、インターネットに接続されたデバイスを制御して破壊的なサイバー活動を行うために使用される有名なマルウェアです。2023 年後半に出現して以来、主に大規模な分散型サービス拒否 (DDoS) 攻撃を実行するために設計されたツールであることが判明しています。最近では、Mitel の携帯電話のセキュリティ上の欠陥を悪用し、侵害されたデバイスのネットワークを拡大しようとする試みで注目を集めています。
標的となった脆弱性は、CVE-2024-41710 と指定されており、特定の Mitel SIP 電話機モデルの起動プロセスにおけるコマンド インジェクションの欠陥です。この脆弱性が悪用されると、攻撃者は影響を受けるデバイスで任意のコマンドを実行できるようになり、Aquabot の拡大するネットワークに事実上登録されることになります。Mitel は 2024 年半ばにこの問題のセキュリティ修正プログラムをリリースしましたが、攻撃者はパッチが適用されていないデバイスを侵害する試みを続けています。
アクアボットの目的
Aquabot の主な目的は、DDoS 攻撃を実行することです。この種の攻撃では、過剰なトラフィックで標的のネットワークやサービスを圧倒し、混乱や潜在的な停止を引き起こします。報告によると、Aquabot の背後にいる人物は、このボットネットへのアクセスをサービスとして提供し、顧客が独自の DDoS 攻撃を開始できるようにしている可能性があります。このような活動の証拠は Telegram で浮上しており、サイバー犯罪者は Cursinq Firewall、The Eye Services、The Eye Botnet などの別名で宣伝しているようです。
Aquabot は純粋にテストや教育目的で使用されていると主張する人もいますが、より詳細な分析により、これらの主張は矛盾していることがわかります。ボットネットのインフラストラクチャは、有料のサイバー攻撃サービスによく見られるパターンと一致しており、その真の目的に対する疑念が強まっています。
アクアボットの拡散方法
Aquabot の最新の活動には、Mitel 電話の欠陥だけでなく、複数の脆弱性を悪用することが含まれています。ボットネットは、CVE-2018-10561、CVE-2018-10562、CVE-2018-17532、CVE-2022-31137、CVE-2023-26801 など、既知のセキュリティ上の弱点をターゲットにしていることが確認されています。これらの脆弱性の一部は、ルーターやその他のインターネット接続ハードウェアに影響を及ぼし、Aquabot が広範囲のデバイスに侵入することを可能にします。
デバイスが侵害されると、ボットネット マルウェアを取得するスクリプトが実行されます。最近の攻撃では、Aquabot が「wget」コマンドを使用してペイロードを取得し、実行に必要なコンポーネントをダウンロードしてインストールすることが確認されています。
ボットネットの最新版には、「report_kill」と呼ばれる注目すべき機能が含まれています。これは、感染したデバイスが終了信号を受信したときにコマンド アンド コントロール (C2) サーバーに警告を発するものです。この通知後、C2 サーバーからの即時応答は検出されていませんが、この機能はボットネットのアーキテクチャが継続的に改良されていることを示唆しています。さらに、Aquabot は、名前を「httpd.x86」に変更し、動作を妨げる可能性のある特定のプロセスを終了することで、検出を回避しようとします。
アクアボットの活動が意味するもの
Aquabot のような Mirai ベースのボットネットの継続的な進化は、インターネットに接続されたデバイスに関連するセキュリティ上の課題を浮き彫りにしています。標的のデバイスの多くは、堅牢なセキュリティ対策が欠如しているか、サポート期間が終了しているか、デフォルトの認証情報で構成されたままになっています。そのため、最小限の労力で大規模なボットネットを構築しようとするサイバー犯罪者にとって、これらのデバイスは魅力的なターゲットとなっています。
サイバー犯罪者が Aquabot のネットワークを利用して、企業、政府、または重要なインフラストラクチャに対する大規模な攻撃を行う可能性に対する懸念が高まっています。DDoS 攻撃は、特にオンライン プラットフォームに依存している組織にとって、サービスの停止、経済的損失、評判の低下につながる可能性があります。さらに、Aquabot へのアクセスを販売するブラック マーケット サービスが存在すると、技術的な知識がほとんどない個人が独自の攻撃を仕掛ける可能性があるため、広範囲にわたる悪用が行われる可能性が高くなります。
全体像
Aquabot の出現は、IoT (モノのインターネット) とネットワーク デバイスの分野におけるサイバー セキュリティのより広範な問題を浮き彫りにしています。多くのメーカーは依然としてセキュリティよりも機能性を優先しており、攻撃者がすぐに悪用できる脆弱性を残しています。ソフトウェアの更新とパッチは既知のエクスプロイトに対する防御を提供しますが、ユーザーがこれらの更新をタイムリーに適用できるようにするという課題が残っています。
ボットネットが進化し続ける中、攻撃者は持続性を維持し、検出を回避するための方法を改良しています。「report_kill」などの機能の導入は、より洗練された戦術への移行を示唆しており、将来的にはさらにステルス性の高い亜種が登場する可能性もあります。
最後に
Aquabot は、脅威アクターが既存の脆弱性を利用して攻撃範囲を拡大する方法のもう 1 つの例です。影響を受けるデバイスにパッチを適用する取り組みは重要ですが、セキュリティ対策の弱さやハードウェアの時代遅れなど、根本的な原因に対処することは依然として基本的な課題です。サイバー犯罪者がアンダーグラウンド プラットフォームでボットネット サービスを積極的に提供していることから、堅牢なサイバーセキュリティ対策の重要性はかつてないほど明らかになっています。
組織も個人も、Aquabot のような新たな脅威に対してデバイスが適切に保護されていることを常に確認し、警戒を怠らないようにする必要があります。定期的な更新、強力な認証方法、ネットワーク監視は、進化するサイバーセキュリティ環境においてボットネットがもたらすリスクを軽減するための重要なステップです。
