毎年フランスで開催されているボットネットとマルウェアに関する国際コンファレンスbotconf ¹が、今年はパリからTGVで2時間ほどかかるアンジェにおいて5月に開催されました。NICTのCSRI解析チームが発表した「Unveiling the DVR Ecosystem A 3-Year Investigation into Global IoT Bot Recruitment Campaigns 」の内容の一部と、RapperBotの最新の動向について紹介します。

I. 概要

ASUS製WiFiルーターに搭載されている「AiCloud」には、USB接続の記憶装置をNASとして利用する機能などが含まれています。このAiCloudにはOSコマンド実行の脆弱性（CVE-2024-12912）など複数の脆弱性が確認されており、認証なしで遠隔からルーターの設定を改変されたり、マルウェアに感染させられるおそれがあります。

はじめに

NICTER プロジェクトのダークネット観測網における 2024 年第 4 四半期（10月～12月）の観測結果を公開します．

• 2024 年第 4 四半期の観測統計
  • 総観測パケット数
  • 日毎のパケット数とユニークホスト数の推移
  • IoT マルウェア の攻撃ホスト数の推移
  • 調査スキャナについて
  • 宛先ポート別パケット数
  • 国別パケット数

2024年第4四半期の観測統計

総観測パケット数

表 1 に総観測パケット数の統計値を示します¹．

はじめに

AsyncRATの解析結果については前回「AsyncRATの解析結果」¹にまとめました。 本ブログでは、実際にAsyncRATをWindows端末上で実行し得られた攻撃者の活動を観測・分析した結果を紹介します。

はじめに

NICTER プロジェクトのダークネット観測網における 2024 年第 3 四半期（7月～9月）の観測結果を公開します．

• 2024 年第 3 四半期の観測統計

  • 総観測パケット数
  • 日毎のパケット数とユニークホスト数の推移
  • IoT マルウェア の攻撃ホスト数の推移
  • 調査スキャナについて
  • 宛先ポート別パケット数
  • 国別パケット数

• 2024 年第 3 四半期に観測した事象について

  [Read More]

はじめに

NICTER プロジェクトのダークネット観測網における 2024 年第 2 四半期（4月～6月）の観測結果を公開します．

• 2024 年第 2 四半期の観測統計
  • 総観測パケット数
  • 日毎のパケット数とユニークホスト数の推移
  • IoT マルウェア の攻撃ホスト数の推移
  • 調査スキャナについて
  • 宛先ポート別パケット数
  • 国別パケット数

2024年第2四半期の観測統計

総観測パケット数

表 1 に総観測パケット数の統計値を示します¹．

はじめに

本記事では，2024 年の上半期（1 〜 6 月）に NICTER で観測された IoT ボットに感染したホストについて，日本国内および韓国の状況を紹介します． なお，2023 年 10 月以降，InfectedSlurs ボットによる Mirai の亜種が活動を活発化させています．この亜種はスキャンパケットに Mirai の特徴を持たないものの依然として脅威となっています．本稿では，分析の便宜上，以下の3種類のホストに分けて取り上げます．

AsyncRATとは

AsyncRATは、リモートアクセス型のトロイの木馬(Remote access trojan, RAT)であり、2019年にGitHub¹でソースコードが公開された以降、その汎用性の高さから現在もばらまき型のRATの1つとして世界中で猛威を振るっています。 ANY RUN²のマルウェアトレンドトラッカーにおいて、本ブログの執筆時点(2024/06/26)で月間3位であることからもその勢いが分かります。

本ブログではAsyncRATの基本的な機能を解説するとともに、2024年5月7日から6月3日までの約1ヶ月間に収集した複数のAsyncRATの亜種を調査し、追加されている機能や展開方法をまとめます。

RapperBotとは

NICTでは、日本国内のNVR/DVRなどのIoT機器を標的として感染活動を行い、DDoS攻撃を実施するRapperBotと思われるボットネットの攻撃キャンペーンを観測しました。 RapperBotは、Miraiと呼ばれるIoTマルウェアの亜種であり、Miraiのソースコードを改良して開発されている形跡がサンプルに見られます。感染活動の目的は主にDoS攻撃ですが、過去にはクリプトジャッキングを新たに取り入れた活動も観測されています。今回観測したキャンペーンの中で、特定のホストに対するDoS攻撃を観測することに成功しました。

はじめに

NICTER プロジェクトのダークネット観測網における 2024 年第 1 四半期（1月～3月）の観測結果を公開します．

• 2024 年第 1 四半期の観測統計

  • 総観測パケット数
  • 日毎のパケット数とユニークホスト数の推移
  • IoT マルウェア の攻撃ホスト数の推移
  • 調査スキャナについて
  • 宛先ポート別パケット数
  • 国別パケット数

• 2024 年第 1 四半期に観測した事象について

  [Read More]