APT28のMoobot

ほぼこもセキュリティニュース By Terilogy Worx

APTなにがしと命名される脅威アクターが多数あります。
なんらかの形で国家の支援を受けて活動していると推測されているアクターです。
単に金銭を目的とした活動と考えにくいものが多くみられ、活動の規模の大きさから背後の組織の大きさを感じられることが多いものとなっています。
そういったAPTのひとつにAPT28があります。

これまで、この脅威アクターは多数の活動を展開してきました。
そして、今また注意が必要な活動が広がっています。
Moobotの蔓延です。

MoobotはMiraiボットネットマルウェアの亜種で、2021年から観測されています。
当初は中国最大の監視カメラ企業の製品の脆弱性を狙って増殖していましたが、2022年にはD-Linkルータの脆弱性を狙い感染を拡大させていました。

APT28の展開しているとみられる最近のMoobotの広がりでは、Ubiquiti Networks EdgeRouterが悪用されています。
Ubiquiti Networks EdgeRouterは、価格が安いのに機器のサイズが小さく、しかも高性能ということで、多くの国や地域で販売されています。

現在展開されているキャンペーンでは、APT28はEdgeRouterにデフォルトの認証情報で接続してきます。
そして、アクターはOpenSSHのサーバプロセスをトロイ化してしまいます。
これにより、リモートの攻撃者は、そのEdgeRouterに認証をバイパスして接続できる状態となってしまいます。

こうして自由に活動できる場所となってしまったEdgeRouterは、Moobotのボットネットの一部として活動を開始してしまいます。
ウェブメールアクセスのアカウント情報を不正に収集し、その検証もそこで実施する、なんていう活動が実施されます。
足場となったEdgeRouterからは、それ以外にも脆弱性を悪用するなどして様々な攻撃が実施されます。

手元で操作するパソコンの類については、最近は意識して更新する人も増えてきているのだと思います。
しかし、ルーターやWifiアクセスポイントなどの日常的に直接の操作を実施しない機器についてはいかがでしょうか。
きっちり定期的に最新のファームウェアであることを確認していて、設定も必要最小限に維持できていて妥当な状態である、と即答できるでしょうか。
面倒に感じることもありますが、蟻の一穴ということもありますので、しっかり維持していきたいものです。

参考記事(外部リンク):Russian Cyber Actors Use Compromised Routers to Facilitate
Cyber Operations

www.ic3.gov/Media/News/2024/240227.pdf

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。