Microsoftは10月31日(米国時間)、「Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network|Microsoft Security Blog」において、同社の顧客を標的とするボットネット「CovertNetwork-1658(別名:Quad7)」の活動に注意を喚起した。このボットネットを用いる攻撃者は、非常に回避性の高いパスワードスプレー攻撃を実行して資格情報を窃取するという。

  • Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network|Microsoft Security Blog

    Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network|Microsoft Security Blog

ボットネット「CovertNetwork-1658」の活動

ボットネット「CovertNetwork-1658」は、侵害されたSOHOルータ(大部分はTP-Link製)で構成される。これらルータは既知または未知のリモートコード実行(RCE: Remote Code Execution)の脆弱性を悪用して侵害されたと推測されている。

デバイスが侵害されるとtelnetおよびxloginバイナリが設置され、TCPポート7777にて待機するバックドアが構築される。攻撃の際にはバックドアに接続、認証してSOCKS5プロキシサーバを起動し、プロキシサーバを介して攻撃が行われる。

  • パスワードスプレー攻撃の準備手順 - 引用:Microsoft

    パスワードスプレー攻撃の準備手順 引用:Microsoft

Microsoftによるとこのボットネットを使用したパスワードスプレー攻撃は、約80%のケースで標的1アカウントに対して1日1回だけ試行されるという。また、侵害されたルータを特定のタイミングでローテーションするため、攻撃の検出は非常に困難とされる。

活動の減少?

2024年7月以降、ボットネット「CovertNetwork-1658」の活動は、複数のセキュリティ企業により分析、報告されている(参考:「TP-Linkルータに加え、ASUSやRuckusのルータもサイバー攻撃の標的 | TECH+(テックプラス)」)。ボットネットの運営者もこれら報告を認識しているとみられ、報告以降、急激にボットネットの縮小が観測されるようになったという。

  • ボットネットを構成するノード数の推移 - 引用:Microsoft

    ボットネットを構成するノード数の推移  引用:Microsoft

Microsoftはこの減少が実際のノード数の減少ではなく、検出を回避するようになった結果と推測している。最近の活動は増加傾向にあり、この推測を裏付けるとしている。

中国の影

Microsoftはボットネット「CovertNetwork-1658」の活動により窃取された認証情報が、中国に関連するとみられる脅威アクター「Storm-0940」により使用されたことを多数確認している。いくつかのケースでは窃取した当日に悪用されたことが確認されており、これら組織には密接な協力関係が存在すると考えられている。

対策

MicrosoftはボットネットおよびStorm-0940の攻撃を回避するため、同社のクラウドサービスを利用する顧客に対して複数の緩和策を提案している。影響を受ける可能性のあるユーザーには、これら緩和策の導入および実施を検討することが推奨されている。