FBIは、脅威者が使用済み(EoL)ルーターにマルウェアを展開し、5SocksやAnyproxyネットワークで販売されているプロキシに変換していると警告しています。
これらのデバイスは、何年も前にリリースされ、ベンダーからセキュリティアップデートが提供されなくなっているため、一般に公開されているエクスプロイトを活用した外部からの攻撃に対して脆弱であり、永続的なマルウェアを注入することができます。
いったん侵害されると、悪意のあるトラフィックをルーティングするレジデンシャル・プロキシ・ボットネットに追加される。多くの場合、これらのプロキシはサイバー犯罪者によって悪意のある活動やサイバー攻撃を行うために使用されます。
「5SocksとAnyproxyのネットワークでは、犯罪者は侵害されたルーターへのアクセスをプロキシとして販売し、顧客が購入して使用できるようにしている。
「このプロキシは、脅威者が自分の身元や居場所を隠すために使用することができる。
勧告では、以下のEoL LinksysとCiscoのモデルを一般的なターゲットとして挙げている:
- Linksys E1200、E2500、E1000、E4200、E1500、E300、E3200、E1550
- Linksys WRT320N、WRT310N、WRT610N
- クレードルポイントE100
- Cisco M10
FBIは、中国の国家支援組織がこれらのルーターの既知(n-day)の脆弱性を悪用し、米国の重要なインフラを標的とした作戦を含む秘密スパイ活動を行っていると警告している。
関連する速報の中で、同機関はこれらのルーターの多くが “TheMoon “マルウェアの亜種に感染しており、脅威行為者がルーターをプロキシとして設定することを可能にしていることを確認している。
「エンド・オブ・ライフ・ルーターは、TheMoonマルウェア・ボットネットの亜種を使用したサイバー・アクターによって侵入された。
「最近、寿命が尽き、リモート管理がオンになっているいくつかのルーターが、TheMoonマルウェアの新しい亜種によって侵害されていることが確認された。このマルウェアによって、サイバー犯罪者は疑うことを知らない被害者のルーターにプロキシをインストールし、匿名でサイバー犯罪を行うことができる。
いったん侵害されると、ルーターはコマンド・アンド・コントロール(C2)サーバーに接続し、インターネット上の脆弱なデバイスをスキャンして侵害するなどの実行コマンドを受け取る。
FBIによると、プロキシは暗号通貨の窃盗、サイバー犯罪、その他の違法行為の際に検知を逃れるために使用されるという。
ボットネットによる侵害の一般的な兆候としては、ネットワーク接続の中断、過熱、パフォーマンスの低下、設定の変更、不正な管理ユーザーの出現、異常なネットワーク・トラフィックなどが挙げられます。
ボットネット感染のリスクを軽減する最善の方法は、使用済みのルーターをアクティブにサポートされている新しいモデルに交換することです。
それが不可能な場合は、ベンダーの公式ダウンロード・ポータルから入手した、お使いのモデルの最新のファームウェア・アップデートを適用し、デフォルトの管理者アカウントの認証情報を変更し、リモート管理パネルをオフにします。
FBIは、EoLデバイスにインストールされたマルウェアに関連する侵害の指標を共有している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments