既に明らかになっているように、ルーターは脅威アクターによってマルウェアを仕掛ける効率的な場所として利用される可能性があり、多くの場合、サイバースパイ活動に利用されます。ルーターは標準的なデバイスよりも保護が脆弱な場合が多く、既存のオペレーティングシステムの改変版が使用されていることも少なくありません。そのため、ルーターを標的とすることは攻撃者にとって興味深い一方で、通常のエンドポイントやサーバーよりも侵入して利用するのは困難です。
Lumen の Black Lotus Labs は、研究者らが Hiatus と名付けたキャンペーンでルーターを標的とする新しいマルウェアを発見した。
ジャンプ先:
- Hiatus マルウェア キャンペーンとは何ですか?
- キャンペーンのターゲティング
- Hiatusマルウェアの脅威から身を守る4つのステップ
Hiatus マルウェア キャンペーンとは何ですか?
Hiatusキャンペーンの主な標的は、i386アーキテクチャを採用したDrayTek Vigorルーターのモデル2960および3900です。これらのルーターは、数百人の従業員のVPN接続をサポートする機能を備えているため、主に中規模企業で使用されています。
研究者らは、MIPS および ARM ベースのアーキテクチャを標的とする他の悪意のあるバイナリも発見しました。
最初の侵入経路は不明ですが、攻撃者は標的のルーターにアクセスすると、bashスクリプトをドロップします。このbashスクリプトが実行されると、HiatusRATマルウェアと、ネットワークパケットキャプチャを可能にする正規のtcpdumpツールの亜種という2つの追加ファイルがダウンロードされます。
これらのファイルが実行されると、攻撃者はルーターを制御し、ファイルをダウンロードしたり、任意のコマンドを実行したり、感染したデバイスからのネットワーク トラフィックを傍受したり、ルーターを SOCKS5 プロキシ デバイスとして使用したりする可能性があります。これにより、さらなる侵害や他の企業への攻撃が可能になります。
HiatusRATマルウェア
RATが起動すると、ポート8816が使用されているかどうかを確認します。このポートがプロセスによって使用されている場合、そのプロセスを強制終了し、そのポートに新しいリスナーを開きます。これにより、デバイス上でマルウェアのインスタンスが1つだけ実行されるようになります。
次に、侵害されたデバイスに関するシステム情報(カーネルバージョン、MACアドレス、アーキテクチャタイプ、ファームウェアバージョンなど)、ネットワーク情報(ネットワークインターフェースの設定とローカルIPアドレス)、ファイルシステム情報(マウントポイント、ディレクトリリスト、ファイルシステムタイプ、仮想メモリファイルシステム)などの情報を収集します。さらに、実行中のすべてのプロセスのリストも収集します。
すべての情報を収集した後、マルウェアはそれを攻撃者が制御するハートビート C2 サーバーに送信します。
このマルウェアには、設定ファイルの更新、攻撃者へのリモート シェルの提供、ファイルの読み取り/削除/アップロード、ファイルのダウンロードと実行、SOCKS5 パケット転送またはプレーン TCP パケット転送の有効化など、さらに多くの機能があります。
ネットワークパケットキャプチャ
HiatusRAT の他に、脅威の攻撃者は、侵害されたデバイス上のネットワーク パケットをキャプチャできる正規の tcpdump ツールの亜種も展開します。
脅威の攻撃者が使用した bash スクリプトは、通常ファイル転送プロトコルと電子メール転送 (SMTP、POP3、IMAP 電子メール プロトコル) 専用であるポート 21、25、110、および 143 の接続に特に興味を示しました。
このスクリプトは、必要に応じて追加のポートスニッフィングを有効にします。これを使用すると、パケットインターセプションが一定の長さに達した後、キャプチャされたパケットはハートビートC2とは異なるアップロードC2に送信されます。
これにより、脅威の攻撃者は、FTP プロトコル経由で転送されるファイル全体や、感染したデバイスを通過する電子メールを受動的に傍受できるようになります。
キャンペーンのターゲティング
Black Lotus Labs は、2022 年 7 月以降、脅威の攻撃者が制御する C2 サーバーと通信している約 100 個の一意の IP アドレスを特定しました。これらは次の 2 つのカテゴリに分類できます。
- 中規模企業は独自のメールサーバーを運用しており、インターネット上でIPアドレス範囲を所有していることもあり、それによって企業を特定できる可能性があります。製薬会社、ITサービス企業、コンサルティング会社、地方自治体などが特定される可能性があります。研究者たちは、IT企業を標的にするのは、顧客の環境へのダウンストリームアクセスを可能にするためだと疑っています。
- ターゲットで使用されるインターネット サービス プロバイダーの顧客 IP 範囲。
ターゲットの地理的再配分を見ると、北米に加えて、英国企業や他のヨーロッパ諸国への関心が高いことがわかります (図 A )。
図A
研究者の報告によると、約2,700台のDrayTek Vigor 2960ルーターと約1,400台のDrayTek Vigor 3900ルーターがインターネットに接続されています。感染したルーターは約100台のみであるため、キャンペーンは小規模で検出が困難です。数千台のうちわずか100台しか影響を受けていないという事実は、脅威アクターが特定の標的のみを狙っており、より大規模な標的への攻撃には関心がない可能性を示唆しています。
Hiatusマルウェアの脅威から身を守る4つのステップ
1. 一般的な脆弱性による侵害を防ぐために、ルーターを定期的に再起動し、ファームウェアとソフトウェアにパッチを適用します。
2. ルーターの動作をログに記録および監視する機能を備えたセキュリティ ソリューションを導入します。
3. 使用期限切れのデバイスは削除し、セキュリティを最大限に高めるために更新可能なサポート対象モデルに交換する必要があります。
4. ルータを通過するすべてのトラフィックは、傍受されても悪用されないように暗号化する必要があります。
次に読む:侵入検知ポリシー(TechRepublic Premium)
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
