BitSight Technologiesはこのほど、「Mylobot: Investigating a proxy botnet|BitSight」において、高度なボットネット型マルウェアが感染を拡大させていることを伝えた。同社の調査により「MyloBot」と呼ばれるボットネットが5万台以上のシステムに感染していることが明らかとなった。

  • Mylobot: Investigating a proxy botnet|BitSight

    Mylobot: Investigating a proxy botnet|BitSight

MylobotはWindowsシステムを標的とするボットネット型マルウェア。2017年に初めて観測され、主な機能として感染したシステムをプロキシサーバとして利用することが知られている。発見されたMylobotのサンプルを分析した結果、ボットネットを解凍して起動するために多段階のシーケンスを採用していることがわかった。

3つの異なるステージを持つとされ、1番目のステージでは「WillExec」と呼ばれるMylobotに感染させるためのドロッパを実行することが明らかにされている。また、3番目のステージで感染したコンピュータをプロキシサーバに変えるためのペイロードが実行され、ハードコードされたコマンド&コントロール(C2: Command and Control)サーバのドメインに接続することが判明している。

  • Execution of the downloader sample downloading Mylobot|BitSight

    Execution of the downloader sample downloading Mylobot|BitSight

調査によって、MyloBotに感染したシステムの数もわかっている。2020年の初めに最大25万台のユニークなシステムに感染していることが確認されており、その後は減少し、現在は毎日5万台以上のユニークなコンピュータに感染していると報告されている。現在、ボットネット全体の一部しか確認できていないと考えられており、この語、15万を超えるコンピューターが感染する可能性もあるという。

  • Unique mylobot's infected system per day|BitSight

    Unique mylobot's infected system per day|BitSight

Mylobotに感染したコンピュータが最も多く存在する国も判明している。インドが最も多く、米国、インドネシア、イラン、日本でもこのボットネットが猛威を奮っていることが確認されている。

  • Heat map of infected computers|BitSight

    Heat map of infected computers|BitSight