新しい高度な**Gafgyt**ボットネットの亜種である**C0XMO**が、**DD-WRT**ルーターファームウェアの脆弱性を悪用しています。この洗練されたマルウェアは、ARM、MIPS、PowerPC、SuperH、x86、x86_64を含む複数のCPUアーキテクチャにわたる多様なデバイスタイプを標的とし、驚くべき適応能力を示しています。 ### モジュール設計と広範なリーチ **Fortinet**の研究者は、**C0XMO**の能力を明らかにする上で重要な役割を果たしました。彼らは、そのモジュール式アーキテクチャを強調しました。これは、オペレーターがメインのpayloadを変更することなく、エクスプロイト技術を独立して更新したり、標的とするアーキテクチャを追加または削除したり、ラテラルムーブメント能力を拡張したりできる主要な機能です。 日本のテクノロジー企業が標的として観測されましたが、ボットネットのソースIPはドイツのデバイスに追跡されており、潜在的に広範なグローバルリーチまたは複雑な運用構造を示唆しています。 ### エクスプロイトとDDoS機能 **C0XMO**は、主に**DD-WRT**の重大なバッファオーバーフロー脆弱性である**CVE-2021-27137**を悪用して拡散します。不十分なユーザー入力検証に起因するこの欠陥は、認証なしで脆弱なデバイス上で任意のコードを実行するために悪用される可能性があります。 その核心において、**C0XMO**は分散型サービス拒否（DDoS）攻撃を開始するために設計されています。UDP/TCP/SYN/ICMPフラッド、「ping of death」、NTP/Memcached増幅、DiscordボイスUDPフラッド、Valve固有のフラッドなど、19種類もの攻撃方法をサポートしています。 ### 高度な拡散と永続性 より広範な配布を達成するために、**C0XMO**はPythonスクリプトをダウンロードし、'requests'、'paramiko'、'beautifulsoup4'などの必要なパッケージをインストールします。これらのツールは、ネットワークスキャンとSSHおよびTelnetプロトコルを介した通信を容易にします。  スキャナーは、22（SSH）、23（Telnet）、80/443（HTTP/HTTPS）、7547、8080、8443、8888などの一般的なポートでインターネットに公開されているシステムをランダムにプローブするために、ワーカー・スレッドを使用します。ターゲットを特定すると、マルウェアは弱いTelnetおよびSSH認証情報に対してブルートフォース攻撃を試みます。アクセスが取得されると、CPUアーキテクチャを検出し、互換性のある**C0XMO**バイナリを展開します。 このスクリプトは、スキャン、HTTPおよびADBベースの脆弱性のエクスプロイト、CPUアーキテクチャ検出、SSH/Telnetログイン、IPアドレス検証など、さまざまなタスクのために2ダース近くの関数を備えており、すべてネットワーク内での堅牢なラテラルムーブメントを目指しています。 デバイスが侵害されると、**C0XMO**は自身を'/tmp/.sys'、'/var/tmp/.sys'、'/dev/shm/.sys'などの隠しディレクトリにコピーします。その後、15分ごとに自身を再起動するcronジョブを作成し、自動実行のためにシェル起動ファイルを変更することで永続性を確立します。 ### 競合相手の排除とコマンド＆コントロール **C0XMO**の注目すべき特徴は、競合するボットネットクライアント、レッドチームツール、プログラミングツール、およびその操作を妨害する可能性のあるネットワークサービスを積極的にスキャンすることです。検出されると、これらのプロセスを終了し、バイナリを削除し、cronジョブ、initスクリプト、システムサービス、シェルプロファイルエントリを含む永続性メカニズムを削除します。  侵害とクリーンアップが成功した後、**C0XMO**はマジック文字列と共有シークレットを含むカスタムのマルチステージハンドシェイクを使用して、ハードコードされたコマンドアンドコントロール（C2）アドレスに接続します。その後、ハートビートチェック、スキャンの開始/停止、およびサポートされている19の方法のいずれかを使用してDDoS攻撃を開始することを含むコマンドを待ちます。 ### Fortinetの評価と防御推奨事項 **Fortinet**は、**C0XMO**を「以前のIoTボットネットと比較して、かなり高度なアーキテクチャと機能セット」を備えていると説明しています。研究者たちは、その全体的な設計が「典型的な**Gafgyt**マルウェアよりも高度な運用上の洗練度と複雑さを示している」と強調しています。 **C0XMO**および同様のボットネットの脅威から防御するために、ITセキュリティ専門家およびユーザーは以下のことを強く推奨されます。 * すべてのデバイス、特にルーターとIoTデバイスを最新のファームウェアとセキュリティパッチで更新してください。 * すべてのネットワークデバイスに強力でユニークな管理資格情報を使用してください。 * リモートアクセス機能は、明示的に必要ない限り無効にしてください。