SecurityInsight | セキュリティインサイト

IIJ、公式ブログで国内Mirai亜種感染機器からのスキャン通信が再び増加と報告

インターネットイニシアティブ(IIJ)のセキュリティチームは4月5日、公式ブログにおいて国内Mirai亜種感染機器からのスキャン通信が再び増加していると報告した。

2月の同ブログでは、今年1月になって日本国内からのMirai亜種によるスキャン通信が大幅に減少していることを報告していた。その後、2月も減少を続けていたが、3月に入って再び増加に転じたことが分かったという。今回のブログでは、IIJのマルウェア活動観測プロジェクト、MITFのハニーポットにおける今年2〜3月のMirai亜種の観測状況について報告。この期間に観測されたMirai亜種のうち、特に目立つ活動を示した2つの亜種について紹介している。その概要は以下のとおり。

1.ADB.miner
2月4日にNetlab 360がADB.minerという新たなボットネットの活動について報告した。このボットはAndroid Debug Bridge(ADB)が利用する5555/tcpをスキャン対象とし、Androidのデバッグ用インタフェースを通じて感染を行なっていた。主な攻撃対象はAndroidOSを搭載するスマートフォンやスマートテレビ等で、これまでのMirai亜種とは大きく異なるが、SYNスキャンのコードをMiraiから流用しているため、Mirai亜種と同じ通信の特徴を有している。

Netlab 360の報告によると、ADB.minerは対象機器への感染後、XMRigプログラムを利用して、仮想通貨の一つであるMonero(XMR)のプールマイニングに参加する機能を持っている。

IIJの観測では5555/tcpへのスキャン通信の送信元アドレスの3分の2以上は、韓国と中国(香港を含む)に集中している。また警察庁も5555/tcpへのアクセスの観測について報告している。

2.Satori.Dasan
2月7日からMirai亜種のSatoriによる52869/tcpへのスキャンと感染試行の活動を観測した。また2月10日から同じくSatoriによる8080/tcpへのスキャンと感染試行の活動を観測した。8080/tcpに対しては、DASAN NetworksのWiFiルーターに存在する脆弱性を利用してコマンドを実行し、感染を試みるものだった。

Satoriのこの新しい検体について、RadwareはSatori.Dasanと名付けて詳しく報告している。SHODANによる検索では脆弱性の対象となるDASAN NetworksのWiFiルーターの大半はベトナムに存在しており、実際に観測した8080/tcpへのスキャン通信の送信元アドレスも半分以上がベトナムに集中していた。

なお、Satori.DasanにはGoAhead Web Serverの複数の脆弱性を利用した81/tcpへの攻撃ペイロードも含まれており、3つの異なる脆弱性を利用して感染拡大を行なっていた。利用する脆弱性や機能などは一部異なるものの、前回のブログで紹介したSatori.Coin.Robberと類似する点がSatori.Dasanには多く見られる。Satori.Dasanによる感染活動は2月末にはほぼ収束している。
 

関連リンク

「IIJ-SECT」公式ブログ