TP-Linkがやばい 中国のハッカー集団が8,000台をハッキング
Microsoftが2023年8月以降で回避性の高いパスワード スプレー攻撃により顧客の資格情報を盗み出す活動を観測しており、攻撃元はCovertNetwork-1658(別名xloginやQuad7 (7777))とされ、特に小規模オフィスやホームオフィス向けのTP-Link製ルーター平均8,000台が悪用されています。
目次
CovertNetwork-1658とは
CovertNetwork-1658は、侵害されたSOHO(小規模オフィスおよびホームオフィス)ルーターによるネットワークで構成されています。
特に小規模オフィスや家庭用のルーターに対する攻撃に重点を置いており、多くのTP-Link製ルーターが悪用されています。
脅威アクターは、これらのルーターの脆弱性を悪用し、遠隔からの制御やデータ流出の拠点として利用しています。
脅威アクターStorm-0940とその活動
このCovertNetwork-1658のパスワードスプレー攻撃で取得された資格情報が、複数の中国系脅威アクターによって利用されていると考えており。
特に、Storm-0940という脅威アクターが、北米や欧州のシンクタンク、政府機関、非政府組織、法律事務所、防衛産業を標的として活動しています。
Storm-0940は、少なくとも2021年から活動しているとされ、パスワードスプレー攻撃やブルートフォース攻撃、またはネットワークエッジアプリケーションの脆弱性を悪用することで初期アクセスを確保しています。彼らの標的は多岐にわたっており、国家機密や知的財産、戦略的情報を狙った活動が多く見られます。
侵害を受けたルーターにおける侵害後の活動
侵害されたルーターは、以下のような一連の手順を通じて準備が整えられ、パスワードスプレー操作の拠点として利用されます。
- Telnetバイナリのダウンロード:リモートファイル転送プロトコル(FTP)サーバーからTelnetバイナリがダウンロードされます。
- バックドア設定:xloginバックドアバイナリをダウンロードし、TCPポート7777でコマンドシェルを起動します。
- SOCKS5サーバーの起動:脅威アクターは、侵害されたルーターでSOCKS5サーバーを起動し、外部からのアクセスを可能にします。
- プロキシネットワークの形成:侵害されたデバイスがプロキシとして機能し、パスワードスプレー攻撃の拠点となることで、攻撃の回避性が高まります。
これにより、攻撃は監視が難しくなり、特に侵害されたSOHO IPアドレスの使用やIPアドレスの頻繁なローテーションによって、検出がさらに困難になります。
CovertNetwork-1658からのパスワードスプレー活動
マイクロソフトは、CovertNetwork-1658から発生した複数のパスワードスプレーキャンペーンを観測しており、これらのキャンペーンでは少数のサインイン試行を各ターゲットアカウントに対して行う手法が取られています。特に、1日あたり1回程度の試行であるため、通常の失敗サインインとして検出を逃れる可能性が高まります。
また、CovertNetwork-1658は、侵害されたデバイスが常にアクティブで、平均で約8,000台が活動しているとされています。これにより、大規模なパスワードスプレーキャンペーンが実施され、複数の組織にわたって初期アクセスの取得が容易になります。
マイクロソフトによる防御推奨事項
マイクロソフトによる防御推奨事項は以下dす。
1. 資格情報の衛生管理
資格情報の管理は重要です。強固なパスワードの設定や定期的な更新、多要素認証(MFA)の適用が効果的です。すべてのアカウントでMFAを必須とし、パスワード再利用の防止を教育することが推奨されます。
2. レガシー認証の無効化
レガシー認証プロトコルはMFAが適用できないため、無効化することでパスワードスプレー攻撃に対する防御が向上します。
3. クラウドIDの強化
条件付きアクセスやID保護を有効にし、潜在的な攻撃をブロックすることが求められます。Azure ADやMicrosoft 365 Defenderなどのセキュリティソリューションを活用し、検出と応答の精度を向上させましょう。
4. パスワードレス認証の推進
Azure MFAやWindows Hello for Businessなどのパスワードレス認証方法を導入することで、セキュリティを強化します。パスワードを避ける認証アプローチが推奨されます。
5. セキュリティベンチマークの活用
Microsoftのセキュリティベンチマークを参考に、ベストプラクティスを導入してセキュリティ体制を確立します。
参照
Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network