### TBK DVRデバイスがCVE-2024-3721を通じて標的に Fortinetによると、攻撃者はTBK DVR-4104およびDVR-4216デジタルビデオレコーダーデバイスにおけるコマンドインジェクションの脆弱性であるCVE-2024-3721（CVSSスコア：6.3）を悪用しています。この脆弱性により、Nexcoriumと名付けられたMiraiの亜種を展開することが可能になります。 セキュリティ研究者のVincent Li氏は、「IoTデバイスは、その広範な普及、パッチ適用不足、そしてしばしば弱いセキュリティ設定により、大規模攻撃の主要な標的となっています。攻撃者は既知の脆弱性を悪用して初期アクセスを獲得し、持続、拡散、そして分散型サービス拒否（DDoS）攻撃を引き起こす可能性のあるマルウェアを展開し続けています。」と述べています。 この脆弱性は、以前にも他のMirai亜種やRondoDoxボットネットを展開するために悪用されていました。2025年9月には、CloudSEKがRondoDox、Mirai、Morteのペイロードを配布するローダー・アズ・ア・サービス（loader-as-a-service）ボットネットを明らかにしました。 エクスプロイトチェーンは、CVE-2024-3721を使用して、システムのアーキテクチャに基づいてボットネットのペイロードを取得するスクリプトをダウンロードして実行することを含みます。実行されると、マルウェアは「nexuscorp has taken control.」と表示します。 ### Nexcoriumボットネットの機能 Nexcoriumは、XORエンコードされた設定、ウォッチャモジュール、DDoS攻撃能力など、他のMirai亜種とアーキテクチャ上の類似性を持っています。このマルウェアは、CVE-2017-17215を悪用してHuawei HG532デバイスを標的にすることもあります。 さらに、Telnet経由でのブルートフォース攻撃のために、ハードコードされた認証情報リストを使用します。ログインに成功すると、シェルアクセスが得られ、crontabとsystemdを使用して永続化が設定され、DDoSコマンド（UDP、TCP、SMTP）のために外部サーバーに接続します。分析を困難にするために、最初にダウンロードされたバイナリは削除されます。 Fortinetは、Nexcoriumが最新のIoTボットネットの典型的な特徴を示しており、脆弱性の悪用、マルチアーキテクチャサポート、および永続化メカニズムを組み合わせています。CVE-2017-17215のような既知のエクスプロイトと広範なブルートフォース能力の使用は、その感染範囲を拡大させています。 ### TP-Linkルーターの脆弱性（CVE-2023-33538）の悪用試行 Unit 42は、EOL（サポート終了）のTP-Linkワイヤレスルーターに影響を与えるコマンドインジェクションの脆弱性であるCVE-2023-33538（CVSSスコア：8.8）を標的としたアクティブなスキャンを検出しました。観測された攻撃は不完全でしたが、根本的な脆弱性は確認されています。 この脆弱性は、2025年6月にCISAの既知の悪用脆弱性（KEV）カタログに追加され、以下のモデルに影響します。 * TL-WR940N v2およびv4 * TL-WR740N v1およびv2 * TL-WR841N v8およびv10 Unit 42の研究者であるAsher Davila氏、Malav Vyas氏、Chris Navarrete氏は、成功した悪用にはルーターのWebインターフェースへの認証が必要であると述べています。 攻撃は、「Condi」を参照するMiraiライクなボットネットマルウェアを展開しようとします。このマルウェアは自己更新が可能で、感染を広げるためのWebサーバーとして機能することができます。 ### 緩和策と推奨事項 影響を受けるTP-Linkデバイスはもはやサポートされていないため、ユーザーはそれらを新しいモデルに交換し、デフォルトの認証情報を使用しないようにする必要があります。 Unit 42は、IoTデバイスのデフォルトの認証情報が依然として重大なセキュリティリスクであり、認証された脆弱性を攻撃者にとって重要な侵入口に変えていると警告しています。