研究者らは、複数の米国政府および通信組織に対する攻撃に関連したモノのインターネット (IoT) ボットネットを発見しました。
で明らかになった「KV-ボットネット」 Lumen の Black Lotus Labs からのレポートは、少なくとも XNUMX つの異なるベンダーによって開発された小規模オフィス ホームオフィス (SOHO) ネットワーク デバイスに感染するように設計されています。 これには、一連のステルス メカニズムと、ローカル エリア ネットワーク (LAN) にさらに拡散する機能が組み込まれています。
注目すべき購読者の XNUMX つは、米国の重要インフラに対する攻撃で知られ、見出しを賑わせた中国国家と連携した脅威アクターである、ボルト タイフーンの高度持続的脅威 (別名ブロンズ シルエット) です。 プラットフォームが関与しているようだ 以前に報告されたボルト タイフーン キャンペーン 電気通信会社 XNUMX 社、インターネット サービス プロバイダー (ISP)、およびグアムに拠点を置く米国政府機関に対するものです。 ただし、これは Volt タイフーンのインフラストラクチャの一部にすぎず、他の脅威アクターもこれを使用していることはほぼ確実です。
KV ボットネットの内部
少なくとも 2022 年 320 月以降、KV-Botnet は主に Cisco RVXNUMX、DrayTek Vigor、Netgear ProSafe 製品ラインを含む SOHO ルーターに感染してきました。 XNUMX 月中旬の時点で、アクシス コミュニケーションズが開発した IP カメラを悪用するように拡張されました。
中国にある IP アドレスから管理されるこのボットネットは、大きく XNUMX つのグループに分けることができます。XNUMX つは高価値の標的に対する手動攻撃を伴う「KY」クラスター、もう XNUMX つはより広範な標的とそれほど高度ではない技術を伴う「JDY」クラスターです。
これまでのところ、KV ボットネット感染のほとんどは後者のクラスターに分類されるようです。 そうは言っても、このボットネットは、司法機関、衛星ネットワーク プロバイダー、米国の軍事組織、さらにはヨーロッパに拠点を置く再生可能エネルギー会社など、これまで非公開だった多くの著名な組織に対して攻撃を加えています。
このプログラムの最も注目すべき点は、おそらくその高度な階層化されたステルス性です。 これは完全にメモリ内に常駐します (ただし、裏を返せば、これは次のコマンドで起動できることを意味します) 簡単なデバイスの再起動)。 感染したデバイス上で実行されている一連のプロセスとセキュリティ ツールをチェックして終了し、デバイス上にすでに存在するランダムなファイル名で実行し、コマンド アンド コントロール (C2) 通信用のランダム ポートを生成します。検出を避けるため。
ただし、その最高のステルス特典は、そもそも感染するデバイスに固有のものです。
SOHO ボットネットの利点
XNUMX月にグループで外出した際、 マイクロソフトの研究者がメモ Volt タイフーンが SOHO ネットワーク エッジ デバイス (ファイアウォール、ルーター、VPN ハードウェア) を介してすべての悪意のあるトラフィックをプロキシする方法について説明します。 理由の XNUMX つは、住宅用デバイスが悪意のあるトラフィックを隠すのに特に役立つという事実かもしれないと、Beyond Identity の CEO、Jasson Casey は説明します。
「インフラプロバイダー(AT&T、Amazon AWS、Microsoft など)や企業専用のインターネットのほとんどはよく知られており、登録されています」と彼は言います。 「これを考慮すると、ほとんどのトラフィックはインフラストラクチャや企業の住所ではなく、住宅の住所から発信されることが予想されます。 このため、多くのセキュリティ ツールは、住宅の IP アドレスから発信されていないトラフィックに不審なフラグを立てます。」
さらに、彼は次のように付け加えています。「住宅設備は安全に構成されていないことが多いため、運用するのに比較的リスクのない資産です(例: デフォルトのパスワードを変更しない)または定期的に更新されるため、侵害が容易になります。 さらに、家庭管理者は自分の機器を監視することはほとんどなく、侵害がどのようなものかを理解することさえできません。」
SOHO 機器の帯域幅は、一般的なワークロードと比較して比較的高いため、悪意のあるボットネットであっても、平均的なユーザーが観察できるような影響はほとんどありません。 Lumen の研究者らは、生産終了したデバイスの高い割合が依然として脆弱な状態で毎日稼働していることや、そのようなデバイスによって攻撃者がジオフェンシングの制限を回避できる仕組みなど、他にも多くの利点を指摘しました。
KV-Botnet バイナリ内の機能は、ターゲットのより広範なローカル エリア ネットワーク (LAN) でさらなる感染を引き起こすように設計されていません。 しかし、研究者らは、このボットネットにより、攻撃者は感染したデバイスにリバース シェルを導入して、任意のコマンドやコードを実行する道を開いたり、LAN を攻撃するためのさらなるマルウェアを取得したりできると指摘しています。
「これらのデバイスは侵害されやすく、フィルタリングが難しく、監視や調査を受ける可能性が低いことを考えると、脅威アクターとして活動するための主要な資産となります」と Casey 氏は結論付けています。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/volt-typhoon-soho-botnet-infects-us-govt-entities
