Black Lotus Labsのレポート要約
事件の概要
- 発生期間: 2023年10月25日から27日までの72時間にわたり、1つのインターネットサービスプロバイダー(ISP)に属する60万台以上の小規模オフィス/ホームオフィス(SOHO)ルーターがオフラインになった。
- 影響: 感染した機器は恒久的に動作不能となり、ハードウェア交換が必要だった。
- 主な原因:
Chalubo と呼ばれるリモートアクセス型トロイの木馬(RAT)が主因と確認された。
Chaluboトロイの木馬
- 初確認: 2018年に初めて確認された。
- 特徴:
- ディスク上のすべてのファイルを削除し、メモリ上で実行される。
- 機器内にすでに存在するランダムなプロセス名を使用する。
- コマンド&コントロール(C2)サーバーとのすべての通信を暗号化する。
- 機能: DDoS攻撃を実行し、Luaスクリプトを実行できる。
感染プロセス
- 初期アクセス: 弱い認証情報、または公開された管理インターフェースを悪用した可能性が高い。
- 感染段階:
- 第1段階:
get_scrpc bashスクリプトを通じて初期ペイロードサーバーにアクセスする。
- 第2段階: 追加のスクリプトとペイロードをダウンロードして実行する。
- 主要ファイル:
/usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs など。
世界的な感染状況
- 活動状況: 2023年11月から2024年初頭まで、Chaluboマルウェアは非常に活発に活動した。
- 感染IPアドレス: 2023年10月30日時点で、33万件以上のユニークIPアドレスが感染していた。
結論
- 特異点: 今回の攻撃は特定のASNに限定されており、60万台以上の機器に影響を及ぼした。
- 攻撃の意図: 意図的なファームウェア更新によって機器を動作不能にした。
- セキュリティ推奨事項:
- SOHOルーターの管理組織: デフォルトパスワードを使用しないこと、管理インターフェースのセキュリティを強化すること。
- 一般ユーザー: ルーターを定期的に再起動し、セキュリティアップデートを適用すること。
GN⁺の見解
- 興味深い点: 今回の事件は単一のISPに限定されており、大規模なハードウェア交換が必要だった点で非常に異例である。
- セキュリティ強化の必要性: SOHOルーターとIoT機器のセキュリティ強化が急務である。
- 技術的な教訓: マルウェアがメモリ上でのみ実行され、通信を暗号化するなど、検知を回避する技術が進化している。
- 代替ソリューション: 類似の機能を提供する他のセキュリティソリューションやプロジェクトを検討する必要がある。
- 導入時の考慮事項: 新しいセキュリティ技術を導入する際は、既存システムとの互換性と管理のしやすさを考慮する必要がある。
1件のコメント
Hacker Newsの意見