SOHOルータから行われるパスワードスプレー攻撃に注意、中国の影
マイナビニュース / 2024年11月5日 9時14分
Microsoftは10月31日(米国時間)、「Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network|Microsoft Security Blog」において、同社の顧客を標的とするボットネット「CovertNetwork-1658(別名:Quad7)」の活動に注意を喚起した。このボットネットを用いる攻撃者は、非常に回避性の高いパスワードスプレー攻撃を実行して資格情報を窃取するという。
○ボットネット「CovertNetwork-1658」の活動
ボットネット「CovertNetwork-1658」は、侵害されたSOHOルータ(大部分はTP-Link製)で構成される。これらルータは既知または未知のリモートコード実行(RCE: Remote Code Execution)の脆弱性を悪用して侵害されたと推測されている。
デバイスが侵害されるとtelnetおよびxloginバイナリが設置され、TCPポート7777にて待機するバックドアが構築される。攻撃の際にはバックドアに接続、認証してSOCKS5プロキシサーバを起動し、プロキシサーバを介して攻撃が行われる。
Microsoftによるとこのボットネットを使用したパスワードスプレー攻撃は、約80%のケースで標的1アカウントに対して1日1回だけ試行されるという。また、侵害されたルータを特定のタイミングでローテーションするため、攻撃の検出は非常に困難とされる。
○活動の減少?
2024年7月以降、ボットネット「CovertNetwork-1658」の活動は、複数のセキュリティ企業により分析、報告されている(参考:「TP-Linkルータに加え、ASUSやRuckusのルータもサイバー攻撃の標的 | TECH+(テックプラス)」)。ボットネットの運営者もこれら報告を認識しているとみられ、報告以降、急激にボットネットの縮小が観測されるようになったという。
Microsoftはこの減少が実際のノード数の減少ではなく、検出を回避するようになった結果と推測している。最近の活動は増加傾向にあり、この推測を裏付けるとしている。
○中国の影
Microsoftはボットネット「CovertNetwork-1658」の活動により窃取された認証情報が、中国に関連するとみられる脅威アクター「Storm-0940」により使用されたことを多数確認している。いくつかのケースでは窃取した当日に悪用されたことが確認されており、これら組織には密接な協力関係が存在すると考えられている。
○対策
MicrosoftはボットネットおよびStorm-0940の攻撃を回避するため、同社のクラウドサービスを利用する顧客に対して複数の緩和策を提案している。影響を受ける可能性のあるユーザーには、これら緩和策の導入および実施を検討することが推奨されている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
ウォッチガードの最新セキュリティレポート、「Lumma Stealer」など新たな脅威を追加
週刊BCN+ / 2024年11月5日 16時28分
-
ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
-
APT攻撃グループ「Lazarus」が、Google Chromeのゼロデイ脆弱性を悪用し暗号資産を窃取していたことを発見
PR TIMES / 2024年10月27日 22時40分
-
偽ゲームサイトでマルウェアに感染、Chromeユーザーが標的
マイナビニュース / 2024年10月24日 18時12分
-
WordPressサイトからマルウェア配布、警戒を
マイナビニュース / 2024年10月23日 12時59分
ランキング
-
1「スンスンが餌食に」 販売から“全店舗3分で完売”→高額転売で「怒りが込み上げる」 スシロー×人気キャラコラボが物議
ねとらぼ / 2024年11月21日 19時2分
-
2ダイソーの“フィギュアに最適”なアイテムが330万表示 驚きの高品質に「めっちゃいいやん……!」「価格バグってるw」
ねとらぼ / 2024年11月21日 20時0分
-
3“主人公キャラのいない”ローグライクシューターが早期アクセス開始!AIとなって敵同士を戦わせ道を拓く―採れたて!本日のSteam注目ゲーム11選【2024年11月21日】
Game*Spark / 2024年11月21日 22時30分
-
4イオンカード、不正利用に関するテレビ報道受け声明 「一日も早く安心してもらえる環境整備に努める」
ITmedia NEWS / 2024年11月21日 15時27分
-
5Anker製品「最大56%オフ」 Amazon ブラックフライデーで 割引率と製品数は2023年よりもアップ
ITmedia Mobile / 2024年11月22日 7時10分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください