イギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。
続きを読むトレンドマイクロでは常に現在の脅威に対する監視と調査を続けています。この活動の中で2021年初頭から既知のマルウェアファミリによるIoT機器への感染事例について再調査したところ、これまでに報告されたIoTマルウェアの中でも最も大きなファミリの一つであり、2018年に猛威を振るったIoTボット「VPNFilter」が感染している事例を複数発見しました。ただしこのVPNFilterに関しては2018年5月にFBIが中心となって遠隔操作サーバ(C&Cサーバ)をテイクダウンしたことが発表されており、一般には既に危険な存在ではないものと考えられています。なぜ、そのVPNFilterが2021年の現在も生き残っているのでしょうか?本記事では調査の詳細と得られた知見について解説します。
本ブログで 2018 年 5 月末に報告したように、IoT ボット「VPNFilter」は、少なくとも 54 カ国にわたる 50 万台のネットワークデバイスに感染したと言われています。トレンドマイクロは、多段階の攻撃における各マルウェアを、「ELF_VPNFILT.A」、「ELF_VPNFILT.B」、「ELF_VPNFILT.C」、「ELF_VPNFILT.D」として検出対応しています。2018 年 5 月の時点で、VPNFilter は、「Linksys」、「MikroTik」、「Netgear」、そして「TP-Link」製のネットワークデバイスおよび「QNAP」製の「Network Attached Storage(NAS)」を対象に、Web サイトの認証情報の窃取、「監視制御データ収集(Supervisory Control And Data Acquisition、SCADA)プロトコル」の傍受、機器を使用不可にする「kill」コマンドの実行などの機能を備えていました。
続きを読むセキュリティリサーチャの報告によると、少なくとも世界 54 カ国で 50 万台以上の家庭用または小規模オフィス用ルータが「VPNFilter」と名付けられたマルウェアに感染しました。VPNFilter は、感染機器の管理、ファイルや認証情報の収集、「監視制御データ収集(Supervisory Control And Data Acquisition、SCADA)」プロトコルの傍受、機器を使用不可にする「kill」コマンドの実行などの機能を備えています。この kill コマンドは、個別の機器で実行することも、複数の機器でまとめて実行することも可能です。VPNFilter の活動は 2016 年から確認されていましたが、2018 年 5 月上旬にウクライナを中心として大量の感染が確認されたことを受け、その危険度の高さからリサーチャがレポートの公開に踏み切りました。
続きを読む