謎のボットネット「7777-Botnet」の脅威：低頻度攻撃の巧妙な手口とその謎

こんにちは、またブログに戻ってきたことを嬉しく思います。今日は、私がしばらくの間調査していたある興味深いボットネットについてお話しします。このボットネットは、ピーク時には16,000台以上の感染デバイスを含んでおり、アメリカ、イギリス、フランスでの標的攻撃が観察されています。また、この背後には組織的なサイバー犯罪との関連も見られますが、その正体は依然として謎です。

最近数ヶ月間、この未知のボットネットはMicrosoft Azureインスタンスへのブルートフォース攻撃を行っていることが確認されています。その特徴的な動作として、感染したデバイス上でポート7777を開き、「xlogin:」というメッセージを返すことがあります。このボットネットは、業界全体にわたるターゲットに対して少量の攻撃を実施しており、大部分がCレベルの従業員ログインを狙っています。週2～3回程度という非常に低いリクエスト数のおかげで、多くのセキュリティソリューションを回避することができています。しかし現時点では、その帰属先を特定する情報は得られていません。

ただし、一部の情報と照らし合わせると、このボットネットはUNC3944やStorm0875、Scattered Spiderなど、おそらくLazarusグループともつながりがある可能性があります。

私の現在のサイバー脅威インテリジェンスの活動の多くと同様に、このケースも誰かから助けを求められることから始まります。今年の7月19日、私は英国のサイバーセキュリティ会社「ゴルディロック」の社員から連絡を受けました。彼らは、不審なIPアドレスのセットが自社のMicrosoft Azure/Exchange環境に何度もログインしようと試みていることを発見したというメッセージを送ってきました。この攻撃は非常に遅く、継続的なブルートフォース攻撃であるようです。具体的には以下の特徴があります。

- 1つのアカウントに対して平均2〜3回/週、時折7〜10日の休止を挟みながら試行される
- 各ユーザーごとにユニークなIPアドレスが使用され、異なるアカウントで再利用されない
- サインインログによれば、すべてのログイン試行は「Microsoft Azure PowerShell」を悪用しようとしており、認証段階で失敗しています。

このような低頻度ながら持続的な攻撃手法は通常とは異なるため、その特異性についてさらに掘り下げる必要があります。一般的な攻撃と比較することで、このブルートフォース攻撃による影響やその背後にある意図がより明確になるでしょう。また、このボットネットが狙うシステムや脆弱性について触れることで、全体像が一層鮮明になると思われます。

興味深いことに、この特定の攻撃は、企業のSIEMやMicrosoft Securityの実装によるいかなるセキュリティ対策にも検出されていませんでした。攻撃の規模が非常に小さかったため、セキュリティ機器は異常と見なすことができなかったからです。従業員が、自分たちには全く関係のない国からの奇妙なログインを発見した時に、ようやくこの攻撃が明らかになりました。

---### 第2章: ボットネット?! 従業員は調査を進めるうちに、この攻撃に関与していた約50個の異なるIPアドレスを発見しました。この攻撃源を突き止めるための最初の試みとして、従業員はそれらをShodan検索エンジンに入力しました。そして、そのすべてが共通して持っていた特徴: オープンポート7777です！ここで示されたデバイスの一例をご覧ください。

ご覧いただけるように、ポート7777が開いていて、不思議な"xlogin:"メッセージが表示されています。この特定のパターンはかなりユニークなので、次のクエリを使ってShodanでピボットすることができます: > [**Shodan検索**] 現在の日付2023年10月7日には、この検索によって得られる情報は以下となります。

私たちの推定ボットネットに関するShodanレポートによると、特定のパターンを示すデバイスは3996台に達しています。しかし、この数字は元々予想されていた規模からするとかなり少ないものです。最初にShodanで確認した際には9345のIPアドレスが表示されていました。Shodanの履歴機能を使うと、その変遷を示すグラフが得られます。2022年6月から7月の間に、このボットネットのパターンが現れ始め、わずか2ヶ月で16108台に急増し、2022年8月にはピークを迎えました。その後、この数は徐々に減少し続けています。ただし、2023年8月から9月にかけて急激な減少が見られることには驚きです。この原因についてはまだ明らかではありませんが、数が常に減っている理由については後ほど説明します。

興味深いことに、この挙動を示すデバイスのほとんどはIoTデバイスであり、多くは家庭用IP経由で接続されています。具体的にはHKVisionソフトウェアやTP-Linkルーター関連のソフトウェア、Dahua製デジタルビデオレコーダーなどがあります。特に影響を受けているデバイスとしてTL-WR841Nルーターが挙げられます。この機種はブルガリア内で多く見つかり、多くの場合、大手ISPによって顧客へ提供されています。このデバイスについても後ほど詳しく見ていきます。

観察して気付いた点として、数の急激な減少とQakbotの取り締まり（2023年8月末）とのタイミングが一致していることがあります。

**第3章: コミュニケーションの拡大**さて、私たちがこのボットネットに関する情報を共同で整理した後、さらなる調査を試みました。まず最初に、当然ながらツイートを発信しました。何かおかしいと感じていたし、どこを探るべきかは分かっていましたが、具体的に何を探すべきなのか迷っていました。感染したデバイスへの直接アクセスなしには、マルウェアや悪意のあるコードが使われたスクリプトを把握することは難しいですからね。そこでアイデアを集めるためにツイートしてみました。

その結果として興味深いことが起こりました。私のツイートの直後に、「B1RD_D06」というハンドル名の研究者から連絡がありました。彼は米国エネルギーセクターの大手企業で働いており、自身も最近数週間、そのネットワークで攻撃されている脅威について特定できたとのことでした。少し会話を交わす中で、この攻撃は各企業のCレベルメンバーに対して行われていることがわかり、そのためこの攻撃は単純なスプレー＆プレイ型ではなく、より洗練されたものだと考えられます。

さらにフランスのセキュリティ会社「Intrinsec」の研究者からも連絡がありました。同社は24時間体制でソフトウェア監視サービスを提供しており、このボットネットについて情報共有することで顧客の安全性向上に貢献したいという思いから接触してきたようです。また、IoT攻撃チェーンによる被害者へのアプローチ案についても議論し、感染したデバイスから有益な情報を引き出せないかというアイデアにも盛り上がりました。その際、「Goldilock」の研究者も同様の考えを持っており、後ほどこのブログ記事内で実際に感染したルーターを物理的に逆解析する試みについて紹介します。

ただ、その前にIntrinsecが行った観察結果をご紹介します。私が提供したIPリストについて話し合ったところ、このボットネットはフランス国内でも複数企業へ攻撃していることが確認されました。その際には低ボリュームな「Microsoft Azure PowerShell」ブロートフォース方式でVIPのみを狙う方法だったそうです。しかしIntrinsecによれば特定業界への標的化は見受けられなかったとのことでした。この発見や私自身限られた他業界への知見などから判断すると、このボットネットはエネルギーセクターだけではなく他業種にも及ぶ可能性があります。そして、高価値なターゲットへの侵害目的と思われる点から、おそらく金銭的動機によるものだと思います。

Greynoiseプラットフォームとのクロスチェックでは、このIPアドレス群について全く記録されていないことも判明しました。この事実は、観測されたボットネットが単なる乱射型ではなく、本当に狙った相手へ向けて活動しているというさらなる証拠となります。---**第4章: 物理的逆解析試み**この調査初期段階で、「Goldilock」の研究者と私は合意しました。このボットネット攻撃に使用されたマルウェア特定には感染したデバイス入手することが最善策だろうと考えていたのでした。

Shodanから取得したIPアドレスのリストを詳しく調べることで、フランスとイギリスにあるいくつかの影響を受けた組織を特定することができました。これらはGoldilockやIntrinsecの所在地周辺に位置しています。そして少し掘り下げていく中で、Goldilockの研究者と連絡を取り合うことで、前述の特徴を持つルーターを入手することができました。Goldilock自体がセキュリティハードウェアの製造業者であるため、私の連絡先は、そのデバイスを物理的に逆工学する際に十分な専門知識を持っていました。 しかし、このルーターについて実際に試みた結果、残念ながら攻撃に関連する証拠は何も回収できませんでした。実際、Goldilockのラボでそのルーターをセットアップしてみたところ、感染したデバイスにはポート7777が開いている様子は見られず、全て消えてしまっていました。

IoTデバイスのハードウェアレベルを考えると、TP-Link TL-WR940Nは、多くの感染が見られる基本的なモデルの一つです。このルーターはエントリーレベルのARM/RISCベースのシステムオンチップで動作しており、具体的にはQualcomm Atheros TP9343プロセッサを搭載しています。ストレージはわずか4MBのフラッシュメモリしかなく、そのほとんどがファームウェアやオペレーティングシステムに占められています。使用されているOSはカスタマイズされたLinux Build Rootイメージで、これはSquashFSを通じてルーターのRAMにロードされます。したがって、もしリモートコード実行（RCE）攻撃が発生した場合、悪意のあるソフトウェアやコマンドはルーターが再起動されるまでしか持続しません。一度電源を切って再起動すると、侵入の痕跡は残りません。このことからも、このようなルーター数が過去6〜8ヶ月間で減少している理由が理解できるかもしれません。通常、ユーザーは接続やパフォーマンスに問題を感じた際に数ヶ月ごとにルーターを再起動することがありますからね。

私たちはさらなる情報を得られませんでしたが、他の研究者がこの問題を調査する際に適切な注意を払うために、この情報を共有します。過去にはいくつかの誤りがありました。---### 第5章: 帰属の試みさて、数ヶ月間の調査の結果として、私たちの発見は主にログ内でブルートフォース攻撃を試みているIPアドレスに基づいています。また、関連するマルウェアや、それを背後で操る人物について十分な証拠も回収できませんでした。しかし、最後に一つ面白い観察結果があります。このボットネットを調査している中で、一つのIPアドレスが特に目立っていました：**[45.61.136[.]133]**

今年の1月にShodanの履歴タブを見てみると、このIPアドレスがポート7777で非常に似たパターンを持っていることがわかります。このIPは、IoTデバイスではなく、ホスティング会社の実際のウェブサーバーであるため、特に目立っています。また、「xlogin:」パターンについては、Intrinsec CTIチームによって通信パターンに1バイトの違いがあると指摘されています。この唯一の非IoTデバイスとして観察されることから、私はこのサーバーが今年1月頃にボットネットのC2サーバーであった可能性を感じています。

興味深い相関関係があります。実際、この**45.61.136[.]133**というIPはReversingLabsによる脅威インテリジェンスレポートにも登場します。2023年8月に発表されたその報告書では、Python Package Index（PyPI）リポジトリへの供給連鎖攻撃について議論されています。攻撃者は悪意のあるPythonパッケージをいくつかアップロードし、それらが他のプロジェクトにインポートされた後にさらなる悪意のある命令をダウンロードするよう設計されていました。

ReversingLabsの記事によれば、そのキャンペーンはLazarusグループによるものであると判断されています。その根拠として以下のような観察結果が挙げられています。

少し複雑な話になりますが、CrowdStrikeに連絡を取ったところ、この特定のIPアドレスについては全く異なるグループ、つまりUNC3944 / Storm-0875 / Scattered Spiderに帰属しているとのことでした。これは事態をさらにややこしくしました。そこで、MicrosoftのMSTICの研究者にも確認したところ、彼らもこのIPアドレスがUNC3944 / Storm-0875 / Scattered Spiderに帰属すると確認してくれました。そして、それだけではなく、別の大手脅威インテリジェンスベンダーであるRecordedFutureは、このIPアドレスをLazarus（Labyrinth Chollima）に関連付けていました。これで、帰属先については2対2という状況です。もしどちらか一方にはっきりとした情報があっても、そのBotnetコントロールサーバーが本当にこのグループによって運営されていたのか、それとも他のエンティティによってレンタルされていた可能性があるため、一概には言えません。

***古い段落終了***

### 更新: この記事を公開した後、ITセキュリティ研究者から連絡がありました。その研究者は、観察されたパターンの時点でIP **45.61.136[.]133 が彼らによって所有されていた**と指摘しました。この研究者は同様のボットネットパターンと活動を観察し、それを模倣する試みを行ったそうですが、その結果としてさらなるインテリジェンスを収集することが目的だったようです。しかし、不幸なことに彼の試みは失敗してしまいました。おそらくボットネットには新しいデバイスを積極的に登録するC2サーバーが存在するため、偽デバイスには指示が送信されなかったのでしょう。そのため、上記の帰属情報は無効になりました。

再び私たちの調査は行き詰まりました。他にも数週間探し続け、多くの人々—RecordedFutureやMicrosoftなど—も追加クエリを実行しましたが、新たな情報は見つかりませんでした。

---

**第6章: 行き詰まり, 証拠なし, なぜ公開する？**

ご覧いただけば分かる通り、ここで行き詰まっています。我々は攻撃が存在すること、高価値企業への高価値認証情報狙いであること、その攻撃者たちが特定産業だけではなく全セクター・世界中にわたって広げていることを知っています。しかしマルウェアも確認できず、有力な攻撃者も特定できない状態です。この数ヶ月間尽力してきたにも関わらず何も得られないような気持ちになります。それでも、この内容を発表することで3つの目標があります。

1. この特定の脅威と低頻度ブルートフォース攻撃による危険性についてコミュニティや一般市民に認識してもらう。
2. 企業向けに影響を受けた可能性についてチェックできるインディケータ一覧提供。
3. より多く資源を持つ他研究者達への調査促進。

さらなる調査支援として、過去数ヶ月間収集した資料をご紹介します：
- [2023年7月19日時点でShodan上で観測された感染デバイス一覧]
- [2023年10月7日時点でShodan上で観測された感染デバイス一覧]
- [感染したルーターから抽出されたログ（一部抜粋）]
- [感染デバイスへの接続試行時のpcapファイル]
- [悪意あるログイン試行が記録されたAzureログ（一部修正済み）]

---

この記事をご覧いただきありがとうございます。皆さんのお時間に感謝し、有益な何か学んでもらえればと思います。また以下のみなさんにも感謝しています：
- [Goldilock]
- [Intrinsec SoC の研究チームとCTIチーム]
- [Dunstable Toblerone]
- [Fr0gger]
- [B1RD_D06]
- [SOSIntel]
- [aejleslie]

7777ボットネットについてさらに興味深い発見や議論などあればぜひお知らせください。また今後の記事通知用に私をフォローしてください。[こちら] (リンク) やTwitterでもどうぞ！Cheers ❤

*更新2023年10月20日：第5章において新しい帰属情報について反映させる段落追加しましたので、ご確認ください！*