User-Agent: B3astmode

ほぼこもセキュリティニュース By Terilogy Worx

B3astmodeはマルウェアです。
Beastmodeとも表記されます。
BeastmodeはDDoS攻撃に使用されるマルウェアです。

以前大きな脅威となったDDoSのツールにMiraiというものがありました。
Miraiは猛威を振るった後、2018年にその作者が逮捕されその幕を閉じました。
しかしMiraiのソースコードは公開されています。
公開されたソースコードはそれを使用する立場で効果が変わります。

  • 防御側での効果
    攻撃手法を詳細に研究することができ、防御技術の向上に役立てることができる
  • 犯罪者側での効果
    攻撃手法を詳細に研究することができ、攻撃技術の向上に役立てることができる
    それだけでなく、攻撃手法を詳細に理解していなくてもそれを改造してさらに悪用することができる

このように考えると、どうにもこの勝負は犯罪者側に有利に思えてしまいます。

今回、Beastmodeというツールを使ったDDoSが展開されていることが観測されていますが、このBeastmodeはMiraiをベースとしたものとなっていることが確認されています。
従来あったMiraiのコードに、別の新しい脆弱性を悪用するためのコードを加えたものとなっています。
脆弱性のCVE番号と脅威にさらされる製品の名称の例は次の通りです。

  • CVE-2022-26210
    TOTOLINK A800R、A810R、A830R、A950RG、A3000RU、A3100R
  • CVE-2022-26186
    TOTOLINK N600R、A7100RU
  • CVE-2022-25075 / 25076/25077/25078/25079/25080/25081/25082/25083/25084
    TOTOLINK A810R 、A830R、A860R、A950RG 、A3100R、A3600R、T6、T10
  • CVE-2021-45382
    D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L、DIR-836L
  • CVE-2021-4045
    TP-Link Tapo C200 IPカメラ

こういった従来のMiraiの悪用していなかった新しい脆弱性を加えて感染を広げます。
感染した後のDDoSの機能性はMiraiそのものです。いくつもの方法でDDoSを実施することができてしまいます。

利用しているパソコンやスマホのOSやアプリに対しては更新することがやっとなじんできたと感じる方も多いことかと思います。
その運用をブロードバンドルーターなどにも広げる必要がありそうです。
古い製品は更新が提供されなくなることもあると思います。
壊れていない製品を買い替えるのは残念にも思いますが、そういったことも考える必要があるのかもしれません。

参考記事(外部リンク):Fresh TOTOLINK Vulnerabilities Picked Up by Beastmode Mirai
Campaign

www.fortinet.com/blog/threat-research/totolink-vulnerabilities-beastmode-mirai-campaign