C0XMOは、ボットネットを構成するマルウェアです。
このマルウェアは新しいものですが、Gafgytと呼ばれているマルウェアの亜種であることがわかりました。
Gafgytは以前から観測されているマルウェアで、古くは2014年から確認されています。
GafgytはIoTデバイスを標的としたボットネットで、サイバーセキュリティの歴史において、息の長いボットネットマルウェアファミリーの一つとして知られています。
C0XMO、どんなものなのでしょうか。
- クロスプラットフォームでの感染拡大
PythonベースのスキャナーとTelnet/SSHブルートフォース攻撃を巧妙に組み合わせ、異なるCPUアーキテクチャを持つ多様なLinuxシステムやIoT環境へ自動的に感染を広げます。 - 特定の既知の脆弱性の悪用
DD-WRTルーターに存在するUPnPサービスの脆弱性(CVE-2021-27137)などをピンポイントで狙い撃ちし、認証を回避して標的デバイスへの初期アクセスを容易に獲得します。 - 多機能かつ強力なDDoS攻撃
指令(C2)サーバーからの命令に基づき、UDP FloodやHTTP GET Floodに加え、被害を拡大させるMemcached増幅攻撃など、多種多様で大規模なDDoS攻撃を実行する能力を備えています。 - デバイスの完全な支配と永続化
感染後は隠しファイルの配置やcronジョブによってデバイス上での永続性を強固に確立し、同時に競合する他のマルウェアや不要なプロセスを強制終了させてリソースを独占します。
C0XMOは、古典的なボットネットであるGafgytの系譜でありながら、新たな脆弱性や自動化スキャン技術を柔軟に取り入れることで今なお進化を続けている極めて危険な亜種です。
特にインターネットに直接公開されているルーターやIoT機器は絶好の標的となるため、ファームウェアの迅速なアップデートや不要なリモートアクセスの遮断といった基本的なセキュリティ対策が欠かせません。
気づかぬうちに大規模なDDoS攻撃の踏み台(加害者)にされないよう、管理者には組織的なデバイス管理と一歩進んだ防御態勢の構築が強く求められます。
Inside the Cross-Platform Propagation of a New Gafgyt Variant C0XMO
https://www.fortinet.com/blog/threat-research/inside-cross-platform-propagation-of-new-gafgyt-variant-c0xmo
| この記事をシェア |
|
|---|
