Miraiは、ネットワークカメラやルーターなどのIoTデバイスに感染し、ボットネットを形成するマルウェアです。
Miraiに感染したデバイスは、DDoS攻撃などのサイバー攻撃に利用されます。
Miraiのソースコードは10年前くらいに公開されており、公開以来それを元に様々な亜種が作成されています。
そんなMirai亜種に、また新たな亜種が追加されていることが確認されました。
- CVE-2024-3721
これは、コマンドインジェクションの脆弱性です。
番号からも分かるように2024年に発見された脆弱性で、概念実証コードもすでに公開されているものです。
これはデジタルビデオレコーダー製品で確認された脆弱性でいろいろなところに設置されている防犯カメラに関するものです。 - 大量の対象機種
この脆弱性の影響する機種は広く利用されているものです。
設置されている地域も広く、中国、インド、エジプト、ウクライナ、ロシア、トルコ、ブラジルなどの地域で感染端末が確認されています。
脆弱性に影響される製品は5万台以上がオンライン状態であることがわかっています。 - このMirai亜種の新機能
古い公開されたマルウェアのコードをそのまま使っているだけでなく、新たな実装も加えられています。
動作に必要な文字列を復号化して利用する機能、研究者の解析の実施として仮想マシンで実行されているかどうかを検出できる機能、研究者の解析の実施としてQEMU上での実行を検出できる機能、などが追加されていました。
侵害された機器は、脅威アクターのBotネットの一部としての機能を開始します。
そして脅威アクターの指示に従ってDDoS攻撃を実施する環境の一部となってしまいます。
さらには、脅威アクターの悪意のあるトラフィックのプロキシとして利用されるケースも考えられます。
多くの場合こういったマルウェアは永続化機能を搭載していても有効に機能できなかったりしますが、感染原因となった脆弱性が対処されない限り何度でも悪用される状態になってしまうことでしょう。
知らない間に加害者側になっていた、という事態は避けたいものですね。
Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721
https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/
| この記事をシェア |
|
|---|
