Qualysは1月21日(米国時間)、「Mass Campaign of Murdoc Botnet Mirai: A New Variant of Corona Mirai|Qualys Security Blog」において、ボットネット「Mirai」の亜種「Murdoc」を展開する新しい大規模なキャンペーンを発見したと報じた。

このキャンペーンでは、主にAVTECH製カメラとHuawei HG532 ルーターを標的にして感染を拡大していることがわかっている。

  • Mass Campaign of Murdoc Botnet Mirai: A New Variant of Corona Mirai|Qualys Security Blog

    Mass Campaign of Murdoc Botnet Mirai: A New Variant of Corona Mirai|Qualys Security Blog

侵害経路

このキャンペーンは2024年7月ごろから確認され、現在も継続中とされる。侵害には既知の脆弱性「CVE-2024-7029」や「CVE-2017-17215」などが使用された。

攻撃者は脆弱性を悪用して悪意のあるコマンドを実行し、リモートのシェルスクリプトをダウンロードして実行する。Qualysはこのキャンペーンで配布されたサンプルを500以上発見しており、シェルスクリプトの一部からは中国語の存在を確認している。

  • 攻撃に使用された悪意のあるシェルスクリプトの例 - 引用:Qualys

    攻撃に使用された悪意のあるシェルスクリプトの例 引用:Qualys

シェルスクリプトはデバイスごとに異なるさまざまなアーキテクチャに対応するため、バイナリー形式の異なるマルウェアをすべてダウンロードして実行する。

影響と対策

Qualysの調査により、1,300台以上の被害デバイスが確認された。国別の統計ではマレーシアに被害デバイスが集中し、日本を含むそれ以外の国にも少数の被害があるとされる。

  • 国別被害デバイスの分布図 - 引用:Qualys

    国別被害デバイスの分布図 引用:Qualys

標的となるデバイスは主にルータやIoT(Internet of Things)機器とされることから、これらデバイスのファームウェアを最新の状態に維持し、サポ ート終了(EOL: End-of-Life)となった製品の買い替えなども推奨される。