米Palo Alto Networksの脅威インテリジェンスチームUnit 42のリサーチャーは、攻撃の有効性を高めるために自身が感染したホストがブラックリストに載っていないかどうか?を確認することで攻撃の有効性を高めようとするボットを確認したと公式ブログにその詳細を掲載している。
ブログによるとこのスパムボットSarvdapは、ホストに感染後にすぐに自身を送信するのではなく、RBLチェック機能を持ち、ホストのIPアドレスをブラックリストサーバに送信。ブラックリスト化されたホスト上ではないと判断した場合は、TCPポート2352を介してコマンド&コントロールサーバと通信を行いプロセスを進め、そうでない場合はプロセスを終了させる。
RBLチェックを行うコードの一部(同社ブログより) |
同ブログでは、フィッシングメールはいまだに企業や政府、ホームユーザーにとって広く知られる脅威であり、大規模なスパム中心のボットネットが、侵害されたホストから1日に数十万通のメッセージを大量生産し続けていることに言及。Sarvdapは、レピュテーションを逆手に取ることで効率化を謀るが、結局は全体的なスパム配信量の増加へとつなげる試みであると、この新たな動きを指摘している。