SecurityScorecardの研究者によると、中国の国家が支援するハッキング・グループVolt Typhoonは、1月に法執行機関によって妨害された後、「KV-Botnet」マルウェア・ボットネットの再構築を開始した。
Volt Typhoonは、中国の国家が支援するサイバースパイ脅威集団で、少なくとも5年前以来、世界中のネットワークの中でも特に米国の重要なインフラに侵入していると考えられています。
彼らの主な戦略は、Netgear ProSAFEファイアウォール、Cisco RV320、DrayTek Vigorルーター、Axis IPカメラなどのSOHOルーターやネットワーク機器をハッキングして、秘密通信やプロキシ・チャンネルを確立するカスタム・マルウェアをインストールし、標的ネットワークへの持続的なアクセスを維持することです。
2024年1月、米国当局は、Volt Typhoonのボットネットを破壊し、感染したルーターからマルウェアを消去したことを発表しました。
Volt Typhoonが2月に行った最初の復活の試みは失敗に終わりましたが、8月に脅威行為者がゼロデイ脆弱性を悪用したという報告があり、この脅威グループが依然として存続していることが示されました。
SecurityScorecardのレポートによると、Volt Typhoonは時代遅れのCiscoおよびNetgearルーターを標的としてボットネットの再構築を開始し、わずか1カ月余りで相当数のデバイスを危険にさらしています。
これらのルーターは、MIPSベースのマルウェアと、非標準のポートで通信するWebシェルを使用して侵害されているため、検出がより困難になっています。
Volt Typhoonが活動を再開
SecurityScorecardによると、9月以降、Volt Typhoonが、主にアジアにある侵害されたデバイスの新たなネットワークを通じて復活しています。
KVボットネットは、侵害されたデバイスに見られる自己署名SSL証明書により、SecurityScorecardによって「JDYFJボットネット」とも呼ばれており、主にCisco RV320/325およびNetgear ProSafeシリーズのデバイスの侵害を試みています。
SecurityScorecardのSTRIKEチームの研究者によると、Volt Typhoonはわずか37日間で、インターネットに公開されているCisco RV320/325デバイスのおよそ30%を侵害したとのことです。しかし、デバイスがどのように侵入されるのかは、現時点ではわかっていない。
「具体的にどのような弱点や欠陥が悪用されているのかはわからない。しかし、デバイスの寿命が尽きているため、アップデートはもはや提供されていません。
また、研究者は、復活したボットネットでどのようなマルウェアが使用されているのかについての知見はないと語った。しかし、彼らは、取り締まりの前に感染していた同じデバイスの一部が再びクラスタに参加したことを指摘した。
KVボットネットの主な動作は、侵害された正規のインフラを経由してトラフィックをルーティングすることで、悪意のある活動を難読化することにあるようだ。
ボットネットのコマンドサーバーは、Digital Ocean、Quadranet、Vultrに登録されており、より多様で弾力性のあるネットワークを実現している。
興味深いことに、Volt Typhoonは、太平洋のニューカレドニア島にある侵害されたVPNデバイスを、アジア太平洋とアメリカ間のトラフィックをルーティングするブリッジとして使用し、ステルスハブとして機能しています。
この選択について、SecurityScorecardは、脅威行為者の地理的な判断である可能性が高いと述べています。
観測された活動は、Volt Typhoonがグローバルなオペレーションに復帰したことを意味しており、ボットネットの規模は以前の反復には遠く及ばないものの、中国のハッカーは今後も粘り強く前進を続けるに違いない。
この脅威から身を守るには、サポートが終了した古いルーター・デバイスを新しいモデルに交換し、ファイアウォールの背後に置き、管理パネルへのリモート・アクセスをインターネットに公開せず、デフォルトの管理者アカウントの認証情報を変更する必要がある。
新しいSOHOルーターを使用している場合は、既知の脆弱性を修正する最新のファームウェアが利用可能になったら、必ずインストールしてください。
Comments