Microsoftは10月31日(米国時間)、「Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network|Microsoft Security Blog」において、同社の顧客を標的とするボットネット「CovertNetwork-1658(別名:Quad7)」の活動に注意を喚起した。このボットネットを用いる攻撃者は、非常に回避性の高いパスワードスプレー攻撃を実行して資格情報を窃取するという。
ボットネット「CovertNetwork-1658」の活動
ボットネット「CovertNetwork-1658」は、侵害されたSOHOルータ(大部分はTP-Link製)で構成される。これらルータは既知または未知のリモートコード実行(RCE: Remote Code Execution)の脆弱性を悪用して侵害されたと推測されている。
デバイスが侵害されるとtelnetおよびxloginバイナリが設置され、TCPポート7777にて待機するバックドアが構築される。攻撃の際にはバックドアに接続、認証してSOCKS5プロキシサーバを起動し、プロキシサーバを介して攻撃が行われる。
Microsoftによるとこのボットネットを使用したパスワードスプレー攻撃は、約80%のケースで標的1アカウントに対して1日1回だけ試行されるという。また、侵害されたルータを特定のタイミングでローテーションするため、攻撃の検出は非常に困難とされる。
活動の減少?
2024年7月以降、ボットネット「CovertNetwork-1658」の活動は、複数のセキュリティ企業により分析、報告されている(参考:「TP-Linkルータに加え、ASUSやRuckusのルータもサイバー攻撃の標的 | TECH+(テックプラス)」)。ボットネットの運営者もこれら報告を認識しているとみられ、報告以降、急激にボットネットの縮小が観測されるようになったという。
Microsoftはこの減少が実際のノード数の減少ではなく、検出を回避するようになった結果と推測している。最近の活動は増加傾向にあり、この推測を裏付けるとしている。
中国の影
Microsoftはボットネット「CovertNetwork-1658」の活動により窃取された認証情報が、中国に関連するとみられる脅威アクター「Storm-0940」により使用されたことを多数確認している。いくつかのケースでは窃取した当日に悪用されたことが確認されており、これら組織には密接な協力関係が存在すると考えられている。
対策
MicrosoftはボットネットおよびStorm-0940の攻撃を回避するため、同社のクラウドサービスを利用する顧客に対して複数の緩和策を提案している。影響を受ける可能性のあるユーザーには、これら緩和策の導入および実施を検討することが推奨されている。