**Hunt.io**は、オランダにホストされているサーバー（IPアドレス 176.65.139[.]44）上で認証を必要としない公開ディレクトリを発見した後、このボットネットを特定しました。 ### DDoS機能 **xlabs_v1**マルウェアは、Hunt.ioによると、「TCP、UDP、およびRakNetやOpenVPN形状のUDPを含む生のプロトコル全体で21種類のフラッドバリアント」という印象的な武器庫を備えています。これらの技術は、一般的なDDoS保護対策を回避するように設計されており、特にゲームサーバーや**Minecraft**ホストに対して効果的です。 ### ADB経由でのAndroidデバイスの標的化 **xlabs_v1**の重要な特徴は、TCPポート5555でADBサービスが公開されているAndroidデバイスに焦点を当てていることです。これは、デフォルトでADBが有効になっているAndroid TVボックス、セットトップボックス、スマートテレビなどのデバイスが脆弱であることを意味します。マルウェアにはAndroid APK（"boot.apk"）が含まれており、さまざまなアーキテクチャ（ARM、MIPS、x86-64、ARC）をサポートしており、家庭用ルーターやIoTデバイスも標的にできる能力を示唆しています。 ### DDoS攻撃サービス運用 このボットネットは、コントロールパネル（xlabslover[.]lol）から攻撃コマンドを受信し、悪意のあるトラフィックの洪水を生み出すように設計されています。Hunt.ioは、ボットが静的にリンクされたARMv7であり、ストリップされたAndroidファームウェアで実行され、ADBシェル経由で/data/local/tmpにペーストされることで配信されると指摘しています。 ### バンド幅階層化と価格設定 DDoS攻撃サービスがバンド幅階層型の価格設定を使用していることを示唆する証拠があります。ボットネットには、被害者のバンド幅とジオロケーションデータを収集するバンド幅プロファイリングルーチンが含まれています。これは、最も近いSpeedtestサーバーに8,192個の並列TCPソケットを開き、10秒間それらを飽和させ、データ転送率をパネルに報告します。この情報は、侵害された各デバイスを顧客の価格階層に割り当てるために使用されます。 ### 持続性の欠如 興味深いことに、このボットネットには持続性メカニズムがありません。ディスクに自身を書き込んだり、initスクリプトを変更したり、systemdユニットを作成したり、cronジョブを登録したりしません。これは、オペレーターがバンド幅プロービングをまれなフリートティア更新操作と見なし、ADBエクスプロイトチャネルを介した再感染が必要であることを示唆しています。 ### 競合他社の排除 **xlabs_v1**には、競合するボットネットを終了するように設計された「キラー」サブシステムも含まれており、独自のDDoS攻撃のために被害者のアップストリームバンド幅を独占できるようにしています。マルウェアの背後にある脅威アクターは、ボットのすべてのビルドで見つかった暗号化された文字列に基づいて、「Tadashi」として知られています。 ### Moneroマイニングとの関連性の可能性 インフラストラクチャのさらなる分析により、共用ホスト（176.65.139[.]42）上で**VLTRig** Moneroマイニングツールキットが発見されましたが、同じアクターが両方の活動に責任を負っているかどうかは不明です。 ### 脅威レベル Hunt.ioは、**xlabs_v1**をミドルティアの脅威と評価しており、基本的な**Mirai**フォークよりも洗練されていますが、トップティアのDDoS攻撃サービス運用ほど高度ではありません。オペレーターは、競争力のある価格設定と攻撃の多様性に焦点を当て、コンシューマーIoTデバイス、家庭用ルーター、および小規模なゲームサーバーオペレーターを標的にしています。 ### Jenkinsハニーポット攻撃 関連ニュースとして、**Darktrace**は、そのハニーポットネットワーク内の設定ミスのある**Jenkins**インスタンスが、リモートサーバー（103.177.110[.]202）からダウンロードされたDDoSボットネットを展開した未知の攻撃者によって標的にされたと報告しました。このインシデントは、ゲーム業界に対する継続的な脅威と、適切な緩和策を実施することの重要性を強調しています。