innovaTopia

Tech for Human Evolution

TheMoonボットネット、家庭用ルーター悪用で犯罪ネットワーク支援再開

TheMoonボットネット、家庭用ルーター悪用で犯罪ネットワーク支援再開 - innovaTopia - (イノベトピア)

Last Updated on 2024-08-08 09:17 by admin

TheMoonボットネットが再び活動を開始し、終了した小規模オフィスや家庭用のルーターおよびIoTデバイスを悪用して、犯罪用プロキシサービス「Faceless」を支えていることが明らかになった。2014年に登場したTheMoonは、2024年1月と2月に88カ国から40,000以上のボットを集めて静かに運営を続けている。Facelessは、Brian Krebsによって2023年4月に詳細が報告された悪意のある居住者プロキシサービスで、他の脅威アクターに1日1ドル未満のわずかな料金で匿名サービスを提供している。これにより、顧客は自身の悪意あるトラフィックを数万の侵害されたシステムを通じてルーティングし、その真の起源を隠すことができる。Facelessのインフラは、SolarMarkerやIcedIDなどのマルウェアのオペレーターが自身のコマンドアンドコントロールサーバーに接続し、IPアドレスを隠蔽するために使用されている。主に金融セクターを対象としたパスワードスプレー攻撃やデータの抜き取りに使用され、感染ホストの80%以上が米国内にある。

Lumen TechnologiesのBlack Lotus Labsチームは、2023年末にこの悪意ある活動を初めて観測し、終了したSOHOルーターやIoTデバイスを侵害し、TheMoonの更新版を展開して最終的にボットネットをFacelessに登録することを目的としていた。攻撃には、C2サーバーからELF実行ファイルを取得するローダーの展開が含まれる。これには、他の脆弱なサーバーに自身を拡散するワームモジュールと、ユーザーに代わってインターネットへのトラフィックをプロキシするために使用される”.sox”というファイルが含まれる。また、マルウェアは、8080ポートと80ポートの受信TCPトラフィックをドロップし、3つの異なるIP範囲からのトラフィックを許可するiptablesルールを設定する。感染デバイスがインターネット接続を持ち、サンドボックスで実行されていないかを確認するために、正規のNTPサーバーのリストからNTPサーバーに接触を試みる。EoLデバイスを標的とすることは偶然ではなく、これらのデバイスはメーカーによるサポートが終了し、時間とともにセキュリティの脆弱性にさらされやすくなるためである。デバイスがブルートフォース攻撃によって侵入される可能性もある。プロキシネットワークの追加分析により、感染が50日以上続いたものが30%以上、48時間以下でネットワークの一部であったデバイスが約15%であることが明らかになった。Facelessは、「iSocks」匿名サービスの灰から立ち上がり、サイバー犯罪者が自身の活動を隠蔽するための重要なツールとなった強力なプロキシサービスである。TheMoonは、Facelessプロキシサービスへのボットの主要な、もしくは唯一の供給者である。

【ニュース解説】

TheMoonボットネットが、終了した小規模オフィスや家庭用のルーターおよびIoTデバイスを悪用して、犯罪用プロキシサービス「Faceless」を支える活動を再開したことが報告されました。2014年に登場して以来、TheMoonは静かにその規模を拡大し、2024年の初めには88カ国から40,000以上のボットを集めていることが明らかになりました。Facelessは、他の脅威アクターに匿名性を提供するサービスで、顧客は自身の悪意あるトラフィックを数万の侵害されたシステムを通じてルーティングすることで、その真の起源を隠すことができます。

このような活動は、特に金融セクターを対象としたパスワードスプレー攻撃やデータの抜き取りに利用されており、感染ホストの大部分が米国内に位置しています。TheMoonによる攻撃は、終了したSOHOルーターやIoTデバイスを標的としており、これらのデバイスはメーカーによるサポートが終了しており、セキュリティの脆弱性にさらされやすくなっています。

この問題の根本には、終了したデバイスが適切に処理されず、セキュリティ更新を受けられないことによる脆弱性があります。これらのデバイスが悪用されることで、サイバー犯罪者は自身の身元を隠しながら、様々な攻撃を行うことが可能になります。また、感染したデバイスは、他の脆弱なサーバーに自身を拡散するワームモジュールを含むマルウェアによって、さらに広範囲にわたる攻撃の一部となる可能性があります。

このような状況は、IoTデバイスのセキュリティに対する認識を高め、製造から廃棄までのライフサイクル全体でセキュリティ対策を講じることの重要性を浮き彫りにしています。また、消費者や企業に対して、セキュリティの更新が終了したデバイスを適切に処理し、セキュリティ対策を常に最新の状態に保つことの重要性を再認識させる機会ともなっています。

長期的には、IoTデバイスのセキュリティ強化や、終了したデバイスの安全な廃棄方法の開発、さらにはセキュリティを考慮したデバイス設計の推進が求められます。これにより、TheMoonのようなボットネットによる悪用を防ぎ、サイバーセキュリティの全体的なレベルを向上させることができるでしょう。

from TheMoon Botnet Resurfaces, Exploiting EoL Devices to Power Criminal Proxy.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » TheMoonボットネット、家庭用ルーター悪用で犯罪ネットワーク支援再開

“TheMoonボットネット、家庭用ルーター悪用で犯罪ネットワーク支援再開” への1件のコメント

  1. 渡辺 淳のアバター
    渡辺 淳

    TheMoonボットネットの活動再開と、終了したSOHOルーターやIoTデバイスを悪用する手法について知ると、情報工学のバックグラウンドを持つ私としては、この問題の深刻さを強く認識します。特に、IoTデバイスのセキュリティ脆弱性が犯罪行為に利用されることは、今後の技術開発において重要な課題となります。

    このような状況は、私たち開発者やエンジニアに、セキュリティを最前線で考慮することの重要性を改めて示しています。ソフトウェア開発では、製品の機能やパフォーマンスだけでなく、セキュリティ対策の実装も同等に重要であると私は考えます。具体的には、IoTデバイスやその他の通信機器の設計段階から、セキュリティを組み込む必要があります。また、既存のデバイスに対しても、定期的なセキュリティアップデートを提供し、End-of-Life(EoL)に至った際には、ユーザーに対して適切な対処方法を伝える責任があります。

    この報告によって、私たち開発者は、セキュリティを軽視することなく、ユーザーが安心して使用できる製品を提供する必要があることを再認識しました。そして、セキュリティ問題に対する公共の認