数百万のルーターとモノのインターネット(IoT)デバイスを標的とする危険なマルウェアサンプルの作成者は、そのソースコードをGitHubにアップロードしました。つまり、他の犯罪者がツールの新しい亜種をすばやく起動したり、そのまま使用したりできるようになりました。キャンペーン。
AT&T Alien Labsの研究者は、昨年30月に最初にマルウェアを発見し、「BotenaGo」と名付けました。 マルウェアはGoで書かれています。これは、マルウェアの作成者の間で非常に人気のあるプログラミング言語です。 Linksys、D-Link、Netgear、ZTEなどの複数のベンダーの製品に含まれるXNUMXを超えるさまざまな脆弱性に対するエクスプロイトが満載です。
BotenaGoは、脆弱性の悪用に成功したシステムでリモートシェルコマンドを実行するように設計されています。 アン 分析 Alien Labsが昨年マルウェアを最初に発見したときに実施したことは、BotenaGoが被害者を標的とするコマンドを受信するためにXNUMXつの異なる方法を使用していることを示しました。 XNUMXつはターゲットデバイスのIPアドレスをリッスンおよび受信するためのXNUMXつのバックドアポートを含み、もうXNUMXつはシステムI / Oユーザー入力にリスナーを設定してターゲット情報を受信することを含みました。
Alien Labsの研究者は、マルウェアがリモートサーバーからコマンドを受信するように設計されているものの、アクティブなコマンドアンドコントロール通信がないことを発見しました。 これにより、セキュリティベンダーは、BotenaGoがより広範なマルウェアスイートの一部であり、感染チェーン内の複数のツールのXNUMXつである可能性が高いと推測しました。 セキュリティベンダーはまた、BotenaGoのペイロードリンクが、悪名高いMiraiボットネットマルウェアのオペレーターによって使用されたものと類似していることを発見しました。 これにより、Alien Labsは、BotenaGoは、Miraiのオペレーターが既知の特定のマシンをターゲットにするために使用している新しいツールであると理論付けました。
IoTデバイスとルーターがヒット
理由は不明ですが、マルウェアの作成者が不明なため、最近、BotenaGoのソースコードがGitHubを通じて公開されました。 Alien Labsによると、この動きにより、他のマルウェア作成者が特定の目的や攻撃キャンペーンに合わせてソースコードを使用および適合させるため、BotenaGoの亜種が大幅に増加する可能性があります。 ブログ 今週。 同社は、BotenaGoサーフェスの新しいサンプルを観察し、IoTデバイスとルーターでMiraiボットネットマルウェアを拡散するために使用していると述べました。 BotenaGoのペイロードサーバーの4つは、最近発見されたLogXNUMXjの脆弱性の侵入の痕跡のリストにも含まれています。
BotenaGoマルウェアは、わずか2,891行のコードで構成されているため、いくつかの新しい亜種の出発点として適している可能性があります。 複数のルーターやIoTデバイスの30を超える脆弱性に対するエクスプロイトが満載されているという事実は、マルウェアの作成者が魅力的だと考える可能性が高いもう2015つの要因です。 BotenaGoが悪用できる多くの脆弱性には、特定のD-LinkワイヤレスルーターのCVE-2051-2016、Netgear製品に影響を与えるCVE-1555-2013、LinksysデバイスのCVE-3307-2014、特定のZTEケーブルに影響を与えるCVE-2321-XNUMXが含まれます。モデムモデル。
「AlienLabsは、ルーターとIoTデバイスをグローバルにターゲットとするBotenaGoバリアントに基づく新しいキャンペーンが見られることを期待しています」と、AlienLabsのマルウェア研究者であるOferCaspiは前述のブログ投稿で述べています。 「この記事の公開時点で、BotenaGoとその亜種のウイルス対策(AV)ベンダーの検出は遅れをとっており、ほとんどのAVベンダーからの検出範囲は非常に低くなっています。」
Alien Labsによると、現在VirusTotalの60のAVのうちXNUMXつだけがマルウェアを検出できます。
同社は、マルウェアのソースコードをハッキングコミュニティフォーラムにアップロードした2016年にMiraiの作者が行った動きと比較しました。 コードのリリースにより、次のような多数のMiraiバリアントが開発されました。 悟り、Moobot、Masutaは、何百万ものIoTデバイス感染の原因となっています。 Miraiコードのリリースにより、独自の機能、新しい機能、および新しいエクスプロイトを備えたバリアントが作成されました。
