BotenaGo botnet

またもや新しい脅威が観測されています。
IoTデバイスをターゲットとするボットネットを構成するマルウェアです。

このBotenaGoは、Go言語で作成されています。
Go言語で作成されたアプリケーションは配布時にコンパイルしてバイナリの状態にしますので、記述は流行りの簡単さで実装することができる割に、検出やリバースエンジニアリングが困難なペイロードを作成することができるといえます。
このため、マルウェアを記述する言語として選ばれやすい傾向があります。

このBotenaGoは、2021年11月11日時点のVirusTotalに登録された各種ウイルス対策の機構では、62種あるもののうちのたったの6種でしか検出できず、しかも、その6種のなかの一部のものは、これがMiraiであると検出するということになっています。

次のようなものであるといえます。

  • BotenaGoは、多段階のモジュラーマルウェア攻撃の一部である
  • BotenaGoは、Miraiなどの他の機構と組み合わせて悪用される
  • BotenaGoはドロッパーとして動作するが、ドロップしてくるためのペイロードはまだ準備が完了していない
    このため、BotenaGoはすでに広がっていることが観測されているが、脅威として悪事を実行する段階には至っていない
  • BotenaGoには、さまざまなルーター、モデム、NASデバイス用のエクスプロイトが組み込まれている
    その数は確認されているだけで33種もあります。
    これらが関連すると思われる機器の台数は、Shodanで確認すると200万台くらいあると考えられる
    代表的なデバイスと、それに対応するために悪用されている脆弱性は次のようなものです。

    • D-Link routers
      CVE-2015-2051, CVE-2020-9377, CVE-2016-11021
    • Netgear
      CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334
    • Realtek SDK based routers
      CVE-2019-19824
    • Zyxel routers and NAS devices
      CVE-2017-18368, CVE-2020-9054
    • Tenda products
      CVE-2020-10987
    • ZTE modems
      CVE-2014-2321
    • Guangzhou 1GE ONU
      CVE-2020-8958
  • VDSL gatewayのコマンドインジェクションが可能な脆弱性を悪用する
    CVE-2020-10173の悪用です。
    Shodanで確認するとこの問題が現存する機器は25万台あります。

自分が普段使っている手元のパソコンやよく利用するサーバに対しての脆弱性対策は、習慣として活動できるようになってきている方もいらっしゃるでしょう。
これはこれで重要です。
次は、周辺にあるIoTデバイスも更新対象として意識していけるといいと思います。

参考記事(外部リンク):BotenaGo botnet targets millions of IoT devices with 33 exploits
www.bleepingcomputer.com/news/security/botenago-botnet-targets-millions-of-iot-devices-with-33-exploits/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。