セキュリティリサーチャーは、D-Linkデバイスを標的とするMooBotという新しいMiraiボットネットの変種について警鐘を鳴らしています。この新しい脅威は、複数のエクスプロイト技術を採用しています。
MooBotは2019年に初めて出現し、LILINデジタルビデオレコーダーとHikvisionビデオ監視製品を乗っ取り、サービス拒否ボットのファミリーに取り込んでいます。
MooBotを検出する
システム内のMooBotサンプルのシグネチャIDを検出するには、トップクラスのSOC Prime Threat Bounty開発者であるNattatorn Chuensangarunが提供する以下のSigmaルールを使用してください。
Palo Alto NetworksによるD-Linkデバイスを標的としたMiraiボットネット(MooBot)のシグネチャ検出
検出ルールは MITRE ATT&CK®フレームワーク v.10に準拠しており、リモートサービスのエクスプロイト(T1210)技術によって表されるラテラルムーブメントタクティックに対応しています。
当社のSOCコンテンツライブラリは、CVEおよびMITRE ATT&CK®フレームワークに直接マッピングされた20万を超える検出および対応アルゴリズムを集約しているため、悪名高いサイバー攻撃に対して侵入の初期段階で対抗することができます。 ディテクションを探索する ボタンをクリックして即座にアクセスを得られます。
MooBot分析
これらの所見は、脅威アクターが高および重大な深刻度のD-Link脆弱性を利用していると述べているPalo Alto NetworksのUnit 42からのものです:CVE-2015-2051, CVE-2018-6530, CVE-2022-26258, CVE-2022-28958。敵対者がエクスプロイト試行に成功すると、悪意のあるコードを遠隔実行し、Linuxで操作されるネットワークデバイスを妥協するためにMooBotペイロードを取得できます。攻撃者がデバイスを完全に制御したら、その悪意ある計画には限りがありません。高い確率で敵対者は悪質なDDoS攻撃を開始します。
MiraiベースのボットネットであるMoobotは、重大なセキュリティインパクトを引き起こす可能性があります。これらの攻撃の深刻な結果により、脆弱なデバイスのユーザーは可能な限り速く欠陥を修正することを求められます。
世界中でサイバー攻撃の数と深刻さの増加は、攻撃の表面を拡大し、毎日より多くの個人や企業を危険に晒しています。貴社を最適なセキュリティ対策で装備するには、 SOC Primeプラットフォームに登録してください.
