AT&T Alien Labsは5月26日(米国時間)、「Rapidly evolving IoT malware EnemyBot now targeting Content Management System servers and Android devices|AT&T Alien Labs」において、Keksecグループが開発している「EnemyBot」が今後大きな脅威となる危険性があると伝えた。Keksecグループは十分な資源を持ち、迅速にマルウェアの開発を進めている可能性があると指摘されている。

  • Rapidly evolving IoT malware EnemyBot now targeting Content Management System servers and Android devices|AT&T Alien Labs

    Rapidly evolving IoT malware EnemyBot now targeting Content Management System servers and Android devices|AT&T Alien Labs

「EnemyBot」は脅威アクターグループ「Keksec」が配布していると考えられているIoTボットネット。基本となるソースコード自体はGitHubで公開されており、誰でも利用できる状況になっている。AT&T Alien Labsは調査を実施し、EnemyBotが迅速に能力を拡大して現在のIoTデバイス、Webサーバ、Androidデバイス、CMS (Content Management System)サーバなどを標的にしていることを発見したと説明している。

その特徴として、EnemyBotが1-day脆弱性を採用を迅速に進めている点についても言及している。ゼロデイの脆弱性情報や概念実証(PoC: Proof of Concept)が公開されてから数日以内にこうした脆弱性を悪用するコードがEnemyBotに取り込まれていることから、AT&T Alien Labsは脅威アクターグループ「Keksec」が豊富な資源を持ち高い技術力を有していると指摘している。

AT&T Alien Labsはこうしたマルウェアの被害に遭わないように、次の対策を推奨している。

  • LinuxサーバとIoTデバイスのインターネットへの露出を最小限に抑え、適切に設定されたファイアウォールを使用する
  • 自動更新を有効にし、ソフトウェアに最新のセキュリティアップデートが適用されていることを確認する
  • ネットワークトラフィック、アウトバウンドポートスキャン、不当な帯域幅の使用を監視する

KeksecのEnemyBotはまだ広がりはじめたばかりだが、今後IoTデバイスやWebサーバにとって大きな脅威となる可能性があると指摘されている。