連邦捜査局、サイバー国家ミッションフォース、国家安全保障局による新しい共同サイバーセキュリティ勧告により、Flax Typhoon 脅威アクターによる新たな活動が明らかになりました。
サイバー攻撃者は、26万台以上のSOHO(スモールオフィス/ホームオフィス)ルーター、ファイアウォール、ネットワーク接続ストレージ、IoTデバイスを侵害し、分散型サービス拒否攻撃や米国のネットワークを狙った標的型攻撃を実行できるボットネットを作成した。
Flax Typhoonとは誰ですか?
マイクロソフトによると、Flax Typhoon(別名RedJuliett、Ethereal Panda)は、少なくとも2021年半ばから活動している中国を拠点とする脅威アクターです。同社は、Flax Typhoonが台湾を拠点とする組織に加え、東南アジア、北米、アフリカのその他の組織をサイバースパイ活動の目的で標的にしていると報告しています。
FBIの共同勧告によると、このグループは中国政府とつながりのある中国に拠点を置くIntegrity Techという企業を支援している。
Flax Typhoonは、ボットネットの制御と管理に、中国のプロバイダであるChina Unicom Beijing Provinceの複数のIPアドレスを利用しています。また、同グループはこれらのアドレスを利用して、米国企業を標的としたコンピュータ侵入作戦で使用される他の運用インフラにもアクセスしています。
さらに報告によると、近年、中国を拠点とする脅威アクターが世界中の企業や政府を標的にしていることがわかった。
参照:なぜあなたのビジネスにサイバーセキュリティ意識向上トレーニングが必要なのか(TechRepublic Premium)
「ラプタートレイン」ボットネット
サイバーセキュリティ企業Lumenの脅威インテリジェンスチームであるBlack Lotus Labsは、Flax TyphoonによるSOHOルーターなどのデバイスへの侵入に関するレポートを公開しました。彼らは、この活動から生まれたボットネットを「Raptor Train」と名付け、4年間にわたって追跡調査を行ってきました。
影響を受けるデバイスは、悪名高い Mirai マルウェア ファミリーの亜種によって侵害されており、目的に合わせてコードを簡単に変更できるため、IoT デバイスを侵害しようとするサイバー犯罪者にとって最適な武器となっています。
FBIが確認した亜種では、マルウェアは既知の脆弱性を悪用することで、様々なデバイスへの侵入を自動化します。最も古い脆弱性は2015年にまで遡り、最新のものは2024年7月に発生しました。侵入されると、デバイスはシステム情報とネットワーク情報を攻撃者が管理するC2サーバーに送信します。
2024 年 9 月現在、w8510.com ドメインの 80 を超えるサブドメインがボットネットに関連付けられています。
影響を受けるデバイスのほぼ半数は米国にある
2024年6月、攻撃者が侵害したデバイスの制御を可能にした「Sparrow」と呼ばれるフロントエンドソフトウェアを実行している管理サーバーには、120万件以上のレコードが含まれていました。これには、米国内の38万5000台以上のデバイスが含まれます。
2024年6月に行われた感染デバイスの数え上げでは、感染デバイスのほぼ半数(47.9%)が米国にあり、次いでベトナム(8%)、ドイツ(7.2%)となっていることが明らかになりました。
サポートされていない古いバージョンから現在サポートされているバージョンまで、Linux カーネル バージョン 2.6 から 5.4 を実行している 50 台以上の Linux システムが侵害されました。
Sparrow インターフェースにより、脅威の攻撃者は侵害されたデバイスをリストするだけでなく、脆弱性やエクスプロイトを管理したり、ファイルをアップロードまたはダウンロードしたり、リモート コマンドを実行したり、IoT ベースの DDoS 攻撃を大規模にカスタマイズしたりできるようになりました。
ボットネットに侵入されたデバイスは、ASUS、TP-LINK、Zyxelのルーターなど、多くのブランドに及んでいます。また、D-LINK DCS、Hikvision、Mobotix、NUUO、AXIS、PanasonicなどのIPカメラも影響を受けました。QNAP、Synology、Fujitsu、ZyxelのNASも標的となりました。
FBI長官クリストファー・レイは、2024年アスペンサイバーサミットの基調講演で、裁判所の許可によりFBIは感染したデバイスからマルウェアを削除する命令を出すことができると発表した。
企業がフラックス台風から身を守る方法
FBI は以下の措置を速やかに講じることを推奨します。
- ルーターやIoTデバイスで使用していないサービスとポートを無効にしてください。ユニバーサルプラグアンドプレイやファイル共有サービスなどのサービスは攻撃者に悪用される可能性があるため、不要なサービスはすべて無効にする必要があります。
- IoTデバイスがセキュリティ侵害のリスクを高めないよう、ネットワークセグメンテーションを実装する必要があります。デバイスが意図された機能のみを実行できるよう、最小権限の原則を適用する必要があります。
- 大量のネットワークトラフィックを監視します。組織は、DDoS攻撃の可能性がある異常なトラフィック量に備える必要があります。
- すべてのオペレーティングシステム、ソフトウェア、ファームウェアにパッチとアップデートを適用します。定期的なパッチ適用により、脆弱性の悪用を軽減できます。
- 攻撃者がデフォルトの資格情報を使用して簡単にログインできないように、デフォルトのデバイスのパスワードをより強力なものに置き換えます。
同庁はまた、メモリ内で実行される可能性のあるファイルレスマルウェアを削除するためにデバイスの再起動を計画し、サポートが終了した機器をサポートされているものに交換することを企業に推奨した。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
