Mirai 亜種 V3G4 検出: 13 の脆弱性を悪用し Linux サーバーや IoT デバイスを標的とする新しいボットネット バージョン

脅威アクターは攻撃の範囲を拡大するために、新たな巧妙なマルウェアバリアントを試しながら、その攻撃ツールキットを絶えず充実させています。サイバー防御者は、新たな Mirai ボットネット の一種である V3G4 がサイバー脅威の風景に名を馳せていることを観察しました。この新しいマルウェアバリエーションは、2022年7月から半年以上の間に、ターゲット化されたユーザーに脅威を与える複数の敵キャンペーンで利用されています。ある一連のIoTデバイスの脆弱性を利用することで、Mirai V3G4 バリアントは、リモートコード実行（RCE）およびサービス拒否（DDoS）攻撃につながる可能性があります。 

V3G4 Mirai バリアントの検出

新しい V3G4 Mirai バリアントを利用した攻撃が増大し、複雑化している状況を考慮すると、セキュリティパフォーマーは、関連する悪意ある活動を特定し、組織インフラを積極的に防御するための信頼できる検出コンテンツが必要です。 

SOC Prime の Detection as Code プラットフォームは、我らの敏腕脅威賞金デベロッパー Wirapong Petshagun によって、最新の V3G4 活動に関連するウェブサーバーログ内で、Mitel AWC リモートコマンド実行のエクスプロイトパターンを検出する専用の Sigma ルールを提供しています：

Mitel AWS リモートコマンド実行エクスプロイトが使用された Mirai バリアント V3G4（via webserver）

この検出は MITRE ATT&CK フレームワーク v12に整合し、主な技術として公開型アプリケーションのエクスプロイト（T1190）を用いた初期アクセス戦術に対応しています。Sigma ルールは、自動で16のSIEM、EDR、XDRソリューションに翻訳され、プラットフォーム間の脅威検出が秒以下で実行されます。

サイバー防御者の一員になりたいですか？ Threat Bounty Program に参加し、未来のCVをコードしながらあなたの独自の検出コンテンツを収益化し、検出工学スキルを磨きましょう。世界最大の脅威検出マーケットプレースに公開され、世界中の8,000以上の組織に探索されているあなたのSigmaルールは、新興の脅威を検出し、世界をより安全な場所にする一助となり、繰り返しの金銭的利益をもたらします。

Miraiマルウェアに関連する悪意ある活動を検出するSigmaルールの全バッチを探るには、 検出を探索 ボタンを押してください。ルールには、対応するCTIリンク、ATT&CK参照、脅威ハンティングアイデアなど、豊富なメタデータが付随しています。 

検出を探索

Mirai バリアント V3G4 説明

悪名高いMiraiマルウェアは、サイバー防御者にとって悩みの種であり、新たな攻撃能力で絶えずアップグレードされています。9月に、Miraiボットネットの背後にいる脅威アクターは、 MooBotとして知られる巧妙なイテレーションをリリースし、D-Linkデバイスに影響を与え、さまざまなエクスプロイト技術を利用しています。

新たなMiraiボットネットバリアント、V3G4と名付けられたものは、2022年の夏中頃からサイバー脅威の場に姿を見せており、Linuxベースのサーバーやネットワークデバイスをターゲットにしています。 Palo Alto Networks Unit 42の研究によれば、三つの敵キャンペーンで観察された新しいマルウェアバージョンのサンプルは、ハードコーディングされた同一文字列を含むC2ドメインの使用、同じXOR復号化キーやシェルスクリプトダウンローダーの利用、さらにパターンが似た他の攻撃能力に基づいて、一つのハッキング集団に帰属する可能性が高いとされています。 

進行中の攻撃では、MiraiボットネットがIoTデバイスの13件の未パッチの脆弱性をターゲットにし、RCEを引き起こそうと試みており、敵に潜在的なDDoS攻撃の許可を与えています。エクスプロイトは、IoTデバイスの広範な範囲におけるRCE、コマンドインジェクション、Object-Graph Navigation Language（OGNL）のインジェクション脆弱性をターゲットにしており、FreePBX Elastix、Gitorious、FRITZ!Boxのウェブカメラ、Webmin、Spree Commerce、Atlassian Confluenceなどの人気製品が含まれています。 

特に、他のMiraiバージョンとは異なり、新しいV3G4バリアントは各ユースケースごとに文字列暗号化のためのユニークなXORキーを適用します。C2サーバーへの接続前に、V3G4はDDoS攻撃機能を初期化し、接続が整い次第DDoS攻撃を試みる準備を整えています。

Mirai バリアント V3G4 は、脆弱性エクスプロイトの成功後に影響を受けるシステムに深刻なセキュリティ影響を与える可能性があり、RCEやさらに攻撃につながる可能性があり、サイバー防御者の即応性が求められます。 

800以上のSigmaルールにアクセスして、現在および新興のCVEの悪用試みを積極的に検出し、常に敵よりも一歩先を行きましょう。 140以上のSigmaルールを無料で入手 し、オンデマンドで関連するプレミアムな検出から利益を得てください： https://my.socprime.com/pricing/.