Medusaの新モジュール

MedusaはDDoSボットネットです。
2015年くらいから販売されているマルウェアで、2017年にはHTTPのDDoS機能が追加されています。
このMedusaはモジュール構造になっていて、最近新しいモジュールが観測されています。
どんな機能が搭載されているのでしょう。

• DDoS機能
  これは従来から搭載されている機能です。
  レイヤー3、レイヤー4、レイヤー7などの各種DDoS機能が搭載されています。
  古くから存在することもあってか非常に多くのプロトコルのDDoS機能が実装されています。
  GRE、ICMP、UDP、SYN、ACK、FIN、RST、PSH、HTTP、などのプロトコルのDDoSを実行できます。

   

• ランサムウェア機能
  こちらは新しく確認された機能です。
  指定された機器に対し、ランサムウェア攻撃を実行することができます。
  マルウェアの持つ拡張子のリストで指定された拡張子を持つファイルをすべてのディレクトリで検索し、ファイル名に「.medusastealer」拡張子を追加して暗号化します。
  最初の段階ではシステムファイルは暗号化の対象になっていません。
  そしてすべての対象のファイルを暗号化し終わると24時間機能を停止します。
  その後どういうわけかシステムドライブのすべてのファイルを強制削除します。
  解析されたマルウェアのコードでは、システムドライブのすべてのファイルを削除した後に身代金メモを表示するように実装されているのですが、システムドライブのすべてのファイルが削除された後で身代金メモの表示は実行できるのでしょうか。
  これはバグでこうなっているのか、ワイパーとして作っていて元にしたランサムウェアの身代金表示機能を削除していないだけなのか、わかりません。
  いずれにしろ、この機能を使用されると被害者の機器はつらい状態となります。

   

• ブルートフォース攻撃機能
  こちらも新しく確認された機能です。
  Miraiはソースコードが公開されていますが、この機能はMiraiをベースとしたコードで実装されたブルートフォース機能です。
  telnetでブルートフォースを実行し、認証が確立できると、マルウェアを送り込みます。

   

• FivemBackdoor機能
  これは名前からするとバックドア機能なのでしょう。
  この名前の機能を指定することのできる部分は実装されているのですが、その機能の中身がまだ実装されていないようです。
  今後の拡張で追加されることになるのかもしれません。

   

• sshlogin機能
  これは名前からするとsshでログインする機能だと思われます。
  こちらもFivemBackdoor機能と同じく現時点では中身が実装されていません。

Medusaはこのように多機能で開発が継続されているマルウェアです。
現在MaaSとして販売されています。
攻撃者は技術的な知識がなくてもお金によって攻撃の道具を簡単に入手することができます。

参考記事（外部リンク）：New Medusa Botnet Emerging Via Mirai Botnet Targeting Linux
Users
blog.cyble.com/2023/02/03/new-medusa-botnet-emerging-via-mirai-botnet-targeting-linux-users/