ゲイフェムボーイ

ゲイフェムボーイ
マルウェアの詳細
タイプボットネット
家族みらい
サイバー攻撃イベント
日付2024年2月(初発見)〜現在
技術的な詳細
プラットフォームリナックス[1]

Gayfemboyは、 DrayTekTP-Link、Raisecom、Ciscoなどの企業向け電子機器にCVEを悪用して感染するマルウェアです。ブラジルフランスドイツイスラエルメキシコ米国スイスベトナムの企業に影響を及ぼしており、建設製造テクノロジー、メディア/通信などの分野に影響を及ぼしています[2]

歴史

このマルウェアは、2024年2月にフォーティネットのセキュリティ研究者によって初めて発見されました。これは、1月にGayfemboyマルウェアによる大規模な攻撃が行われた後のことです。このマルウェアは、感染したマシンをボットネットとして利用し、標的のウェブサイトに対して一連のDDoS攻撃を仕掛けました。[3]現在既知のサンプルはUPXパッカーで難読化されていましたが、ヘッダー「UPX!」が16進コード「10 F0 00 00」の印刷不可能な文字に置き換えられており、検出が困難になっています。実行されると、このマルウェアは「/proc/[PID]/exe」にある各プロセスのパスを調べ、アクティブなプロセスとファイルシステム内のそれぞれの位置に関する情報を収集します。47個のコマンド文字列をメモリに読み込み、「/proc/[PID]/cmdline」内のすべてのエントリを確認します。一致するものが見つかった場合、対応するプロセスを終了します。これらのコマンドには、「ls -l」、「reboot」、「wget」などがあります。モニターは、自己保存とサンドボックスの検出に使用されます。 Gayfemboyはマルウェアプロセスが終了したことを検出すると、再起動を開始します。50ナノ秒の遅延により、マルウェアはサンドボックスを検知することができますが、サンドボックスはそのような微細な遅延に対応できず、呼び出された関数が失敗し、マルウェアは結果を「誤って解釈」し、その後27時間の休止状態を引き起こします。[4]

感染と標的は、マルウェア株Miraiと酷似しており、ARMAArch64MIPS R3000PowerPCIntel 80386など、さまざまなシステムアーキテクチャを標的にしています。 Gayfemboy マルウェアは、永続性とサンドボックス回避技術を組み込みながらスレッドとプロセスを追跡し、UDP ポート 47272にバインドし、 UDP、TCPICMPプロトコルを使用して DDoS 攻撃を開始し、リモートサーバーに接続してコマンドを受信することでバックドアアクセスを可能にします。また、サーバーからコマンドを受信するか、サンドボックス操作を検出すると、自身を終了します。 この攻撃は主に、ポート 6379 で動作している認証されていないRedisサーバーを探すことから構成されます。 その後、正当な CONFIG、SET、および SAVE コマンドが実行され、シェルスクリプトを実行するための有害なcronジョブが開始されます。このスクリプトは、 SELinuxを無効にし、防御回避策を実装し、Redisポートへの外部アクセスをブロックしてライバル組織が初期アクセスルートを悪用するのを防ぎ、競合するマイニングプロセス(Kinsingなど)を終了するように設計されています。[5]

2024年2月に初めて検出されたGayfemboyボットネットは、 ゼロデイ脆弱性を悪用してデバイスに侵入するなど、高度な戦略を駆使してきました。2024年11月までに、このボットネットは活動範囲を拡大し、産業用ルーターやスマートホームデバイスに重点を置き、15,000台以上のアクティブノードを誇っています。[6] Gayfemboyを運営する人物は、自らの活動を監視している研究者に対してDDoS攻撃も開始しています。このマルウェアは、検出を回避するために独自のファイル名と難読化手法を採用しており、様々な悪意のある目的のために設計された4つの主要モジュールを備えています。[7]

2025年7月、FortiGuard Labsは、デバイスの様々な脆弱性を悪用するGayfemboyのペイロードを発見しました。攻撃はIPアドレス87.121.84.34および220.158.234.135にまで遡りました。専門家は、ボットが標的とした複数のデバイス(AsusVivoZyxelRealtekなど)を狙ったダウンローダースクリプトを特定しました。悪意のあるコードはマルウェアとMonero マイナーを取得し、製品名をGayfemboyにパラメータとして送信して実行させました。[8]

フォーティネットは2025年8月までに、FortiGuardウェブフィルタリングサービスを通じて、Gayfemboyキャンペーンに対する多層防御を導入しました。このサービスは、IPSシグネチャに加え、特定されたC2ドメインをアクティブにブロックすることで、悪用されるすべての脆弱性から保護します。C2ドメインには cross-compiling.org 、i-kiss-boys.com furry-femboys.top、twinkfinder.nl 3gipcam.comが含まれます。[ 9]

参照

参考文献

  1. ^ Raatni, Meghana (2025年8月26日). 「ゲイフェンボーイマルウェア出現:次世代Mirai亜種がCiscoおよびTP-Linkルーターを標的に」. SecPodブログ. 2025年8月30日閲覧
  2. ^ 「Gayfemboyマルウェアキャンペーン」Broadcom . 2025年8月26日. 2025年8月29日閲覧
  3. ^ Riedel, Samantha (2025年8月25日). 「高度な『ゲイフェンボーイ』マルウェアが世界中の複数の業界を攻撃」Them . 2025年8月29日閲覧
  4. ^ Knop, Dirk (2025年8月25日). 「Miraiベースのボットネットキャンペーン『Gayfemboy』、ドイツでも活発化」Heise Group . 2025年8月30日閲覧
  5. ^ Lakshmanan, Ravie. 「GeoServerエクスプロイト、PolarEdge、Gayfemboyがサイバー犯罪を従来のボットネットの域を超えさせる」The Hacker News . 2025年8月30日閲覧
  6. ^ ウィンダー、デイビー. 「ゲイフェンボーイのゼロデイルーター攻撃が進行中 - 知っておくべきこと」. Forbes . ISSN  0015-6914. OCLC  6465733. 2025年8月30日閲覧
  7. ^ 「ゲイフェンボーイボットネットの進化:フォーティネットの研究者が高度なサイバー脅威を解明」SC Media 2025年8月25日. 2025年8月30日閲覧
  8. ^ パガニーニ、ピエルルイジ (2025-08-24). 「包囲されるIoT: MiraiベースのGayfemboyボットネットの復活」。安全保障問題2025-08-30に取得
  9. ^ 「Cisco、TP-Link、その他のルーターを乗っ取ってリモート制御する新たなステルスマルウェア」gbhackers . 2025年8月25日. 2025年8月29日閲覧
「https://en.wikipedia.org/w/index.php?title=Gayfemboy&oldid=1331302986」より取得