TP-Linkがやばい 中国のハッカー集団が8,000台をハッキング

TP-Linkがやばい 中国のハッカー集団が8,000台をハッキング

Microsoftが2023年8月以降で回避性の高いパスワード スプレー攻撃により顧客の資格情報を盗み出す活動を観測しており、攻撃元はCovertNetwork-1658(別名xloginやQuad7 (7777))とされ、特に小規模オフィスやホームオフィス向けのTP-Link製ルーター平均8,000台が悪用されています。

CovertNetwork-1658とは

CovertNetwork-1658は、侵害されたSOHO(小規模オフィスおよびホームオフィス)ルーターによるネットワークで構成されています。

特に小規模オフィスや家庭用のルーターに対する攻撃に重点を置いており、多くのTP-Link製ルーターが悪用されています。

脅威アクターは、これらのルーターの脆弱性を悪用し、遠隔からの制御やデータ流出の拠点として利用しています。

脅威アクターStorm-0940とその活動

このCovertNetwork-1658のパスワードスプレー攻撃で取得された資格情報が、複数の中国系脅威アクターによって利用されていると考えており。

特に、Storm-0940という脅威アクターが、北米や欧州のシンクタンク、政府機関、非政府組織、法律事務所、防衛産業を標的として活動しています。

Storm-0940は、少なくとも2021年から活動しているとされ、パスワードスプレー攻撃やブルートフォース攻撃、またはネットワークエッジアプリケーションの脆弱性を悪用することで初期アクセスを確保しています。彼らの標的は多岐にわたっており、国家機密や知的財産、戦略的情報を狙った活動が多く見られます。

侵害を受けたルーターにおける侵害後の活動

侵害されたルーターは、以下のような一連の手順を通じて準備が整えられ、パスワードスプレー操作の拠点として利用されます。

  1. Telnetバイナリのダウンロード:リモートファイル転送プロトコル(FTP)サーバーからTelnetバイナリがダウンロードされます。
  2. バックドア設定:xloginバックドアバイナリをダウンロードし、TCPポート7777でコマンドシェルを起動します。
  3. SOCKS5サーバーの起動:脅威アクターは、侵害されたルーターでSOCKS5サーバーを起動し、外部からのアクセスを可能にします。
  4. プロキシネットワークの形成:侵害されたデバイスがプロキシとして機能し、パスワードスプレー攻撃の拠点となることで、攻撃の回避性が高まります。

これにより、攻撃は監視が難しくなり、特に侵害されたSOHO IPアドレスの使用やIPアドレスの頻繁なローテーションによって、検出がさらに困難になります。

CovertNetwork-1658からのパスワードスプレー活動

マイクロソフトは、CovertNetwork-1658から発生した複数のパスワードスプレーキャンペーンを観測しており、これらのキャンペーンでは少数のサインイン試行を各ターゲットアカウントに対して行う手法が取られています。特に、1日あたり1回程度の試行であるため、通常の失敗サインインとして検出を逃れる可能性が高まります。

また、CovertNetwork-1658は、侵害されたデバイスが常にアクティブで、平均で約8,000台が活動しているとされています。これにより、大規模なパスワードスプレーキャンペーンが実施され、複数の組織にわたって初期アクセスの取得が容易になります。

マイクロソフトによる防御推奨事項

マイクロソフトによる防御推奨事項は以下dす。

1. 資格情報の衛生管理

資格情報の管理は重要です。強固なパスワードの設定や定期的な更新、多要素認証(MFA)の適用が効果的です。すべてのアカウントでMFAを必須とし、パスワード再利用の防止を教育することが推奨されます。

2. レガシー認証の無効化

レガシー認証プロトコルはMFAが適用できないため、無効化することでパスワードスプレー攻撃に対する防御が向上します。

3. クラウドIDの強化

条件付きアクセスやID保護を有効にし、潜在的な攻撃をブロックすることが求められます。Azure ADやMicrosoft 365 Defenderなどのセキュリティソリューションを活用し、検出と応答の精度を向上させましょう。

4. パスワードレス認証の推進

Azure MFAやWindows Hello for Businessなどのパスワードレス認証方法を導入することで、セキュリティを強化します。パスワードを避ける認証アプローチが推奨されます。

5. セキュリティベンチマークの活用

Microsoftのセキュリティベンチマークを参考に、ベストプラクティスを導入してセキュリティ体制を確立します。

 

参照

Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network

TOPへ