Lumen Technologiesは3月26日(米国時間)、「The Darkside of TheMoon - Lumen」において、サポートを終了したルータまたはIoT(Internet of Things)デバイスを標的としてボットネット型マルウェア「TheMoon」の亜種を配布するサイバー攻撃のキャンペーンを発見したと伝えた。TheMoonは「Faceless」と呼ばれるプロキシサービスプロバイダーに接続し、デバイスをFacelessネットワークに組み込むという。

  • The Darkside of TheMoon - Lumen

    The Darkside of TheMoon - Lumen

マルウェア「TheMoon」の正体

このキャンペーンでは標的のデバイスへの侵入に成功すると、初めにファイアウォールの設定を変更してデバイスの設定画面(ポート80および8080)へのアクセスをブロックする。次に、サンドボックス上で動作していないことを確認し、2つの悪意のあるファイルをダウンロードして実行する。そのファイルの一つはワームモジュールとされ、ポート80または8080にアクセスできる脆弱なデバイスを探索して拡散を試みる。

もう一つのファイルはマルウェア「TheMoon」であり、TheMoonのコマンド&コントロール(C2: Command and Control)サーバからFacelessサーバのIPアドレスを取得し、Facelessサーバに接続する。なお、この調査の過程でLumen TechnologiesはFacelessサーバがTheMoonのC&Cサーバに直接接続していることを確認しており、TheMoonはFacelessシステムの一部と評価されている。

プロキシサービス「Faceless」の悪用の流れ

プロキシサービスを提供する「Faceless」は、支払いを暗号資産で受け取り顧客の本人確認をしない。そのため、完全に匿名でプロキシサービスを利用できることから、サイバー犯罪者にとって理想的なサービスとされる。また、Facelessは侵害キャンペーンごとに異なるサーバを立ち上げているが、これは一部のサーバがセキュリティ対策などで稼働できなくなった場合に他のサーバへの影響を回避する目的があるものとみられている。

Lumen Technologiesの調査によると、最近立ち上げられたFacelessサーバは主にASUSの侵害されたデバイスと通信しており、72時間で6,000台を超えるプロキシネットワーク(ボットネット)を構築したことがわかっている。

  • Facelessのプロキシネットワーク概念図 - 引用:Lumen

    Facelessのプロキシネットワーク概念図 引用:Lumen Technologies

対策

Lumen Technologiesは調査結果に基づいて、TheMoonおよびFacelessに関係するすべての通信をブロックした。これにより、同社のネットワークを利用している顧客は攻撃の影響を回避できるとみられる。

個人および小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けルータやIoTデバイスを運用しているユーザーは、同様の攻撃を回避するため、次のような対策が推奨されている。

  • ルータを定期的に再起動する。また、ファームウェアを常に最新の状態に維持する(参考:「Routers cyber security best practices - ITSAP.80.019 - Canadian Centre for Cyber Security」)
  • デバイスのデフォルトパスワードを使用せず、一意で強力なパスワードを設定する。また、管理インタフェース(設定画面)がインターネットからアクセスできないように設定する
  • デバイスがサポート終了(EOL: End-of-Life)期限を過ぎている場合、新しい製品へ交換する

Lumen Technologiesは今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/Moon_Faceless_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。