「Mirai」の変異「マトローショ」

　WebカメラなどIoTデバイスで構成されたボットネット、「Mirai」を憶えているだろうか。2016年ごろから確認され、DYN（大手DNSサービスプロバイダ）が大規模なDDoS攻撃の被害を受け、Netflixなどメジャーなサービスも影響を受けた。管理者パスワードの設定が甘いネットワーク機器やIoTデバイスが標的とされ、数十万台規模のボットネットが構築された。

　このMiraiの亜種を報告したのは、360Netlabという中国の研究者組織だ。運営するBotMonシステムが、Miraiと認識したマルウェアを発見したという。マルウェアの特徴はMiraiだが、トラフィックはそれほど多くない。調査したところ、Miraiのフレームワークを利用した新しいマルウェアであり、Moobotグループという組織が関与している疑いがあることを発見した。

　MiraiではIoTデバイスのセキュアでないTELNETポートを利用して感染を広げていった。このMirai亜種マルウェアは、AndroidのADBインターフェイスを利用して感染を広げていることがコード解析で判明している。ADBインターフェイスは、開発者モードでリモートデバッグなどに利用される機能で、Android端末のTELNETに相当する機能と思えばよい。

　ADBインターフェイスは、「開発者モード」に設定しないと機能しない。スマートフォンやタブレットなら通常オフになっている。狙いは、スマートフォンよりもAndroidが実装されたIoT機器、組み込み機器と思われる。

　DDoS攻撃の標的はDNSサーバ。これもMiraiと同様だ。しかし攻撃指令を行うC2サーバは、プロキシサーバ（中継を代理するサーバ）を経由してTorネットワーク上に配置される。Torは特殊なルーティングによって追跡を困難にしたネットワークで、ダークウェブにも利用されている。プロキシサーバの情報も、追跡を困難にするため2つの別サーバをたどっていくようになっている。

　C2サーバまで2重、3重に保護されているため、このマルウェアは「マトローショ（Matryosh）」と名付けられた。

Agent Teslaの変異

　もう1つのニュースは、SOPHOSが報告し、DARKReadingが記事にした「Agent Tesla」の新バージョンに関するものだ。Agent Teslaは、RAT（Remote Access Trojan）マルウェアの一種だ。RATとして、キーロガー、画面キャプチャや内蔵カメラアクセスのようなスパイ機能を持っている。キーロガーや画面キャプチャ等で侵入し、アカウント情報の入力情報を窃取して、外部に送信する目的で利用されることが多い。

　Agent Teslaは、2014年から活動が確認されている息の長いマルウェアだ。2020年月ごろにチェックポイントが攻撃の増加を確認し、いくつかのセキュリティベンダーも関連するフィッシングキャンペーンなどを報じている。時期的にCOVID-19関連のフィッシングメールで感染させたりしていたようだ。


　2021年2月に発見されたAgent Teslaは、攻撃コードのダウンロード方法とアンチマルウェアの回避方法が刷新されている。攻撃コードはアーカイブされpastebinやhastebinのような公開サイトからダウンロードされる。攻撃コードの一部は、WindowsのAnti-Malware Software Interface（AMSI）のコードを書き換えて、展開・実行するマルウェアや攻撃コードの検知を無効にする。攻撃者によるRATツールの遠隔操作には、TelegramのメッセージAPIを利用するという。

　Agent TeslaのターゲットはID・パスワードなどの認証情報だ。新しいバージョンでは、ブラウザやメールなどの認証情報の他、攻撃対象とするアプリケーションが拡張され、VPNクライアントなども追加されている。サプライチェーン攻撃やAPT攻撃への利用が懸念される。

【次ページ】開発元を摘発しても「変異」は止められない