マルチライセンス割引
Threat Database Malware AVrecon ボットネット マルウェア

AVrecon ボットネット マルウェア

Malware, BotnetsMezoまで
翻訳内容:
日本語

2021 年 5 月以降、AVrecon として知られる極秘の Linux マルウェアが、Linux ベースのシステムで動作する 70,000 台を超える小規模オフィス/ホーム オフィス (SOHO) ルーターに侵入するために使用されました。これらの侵害されたルーターはボットネットに組み込まれ、帯域幅の窃取と隠蔽された住宅用プロキシ サービスの確立という 2 つの目的を果たします。情報セキュリティの専門家によると、AVrecon によって侵害された 70,000 台のデバイスのうち、約 40,000 台がボットネットに組み込まれていました。

このボットネットを利用することで、AVrecon のオペレーターは一連の有害な取り組みを効果的に隠蔽できます。これらの活動は、詐欺的なデジタル広告スキームからパスワードスプレー攻撃に至るまで、広範囲に及びます。隠蔽された住宅用プロキシ サービスを利用できると、業務を匿名化し、侵害されたネットワーク インフラストラクチャを悪用して、検出されずに不正行為を実行する手段が提供されます。

AVrecon マルウェアは侵害されたデバイス上で静かに動作します

2021 年 5 月の最初の検出以来、AVrecon は検出を回避する顕著な能力を実証してきました。当初は Netgear ルーターを標的としていたが、2 年以上検出されずにいたが、新たなボットを罠にはめることで着実にその範囲を拡大した。この絶え間ない成長により、最近では小規模オフィス/ホーム オフィス (SOHO) ルーターをターゲットとする最大のボットネットの 1 つになりました。

このマルウェアの背後にある攻撃者は、ユーザーが既知の脆弱性と露出 (CVE) に対してパッチを適用する可能性が低い SOHO デバイスを悪用することに戦略的に重点を置いているようです。より慎重なアプローチを採用することで、オペレーターは 2 年以上にわたって検出を逃れながら、長期間にわたって密かに活動することができました。このマルウェアの秘密的な性質により、感染したデバイスの所有者は目立ったサービスの中断や帯域幅の損失をほとんど経験することができず、さらにボットネットが検出されずに存続する可能性がありました。

ルーターが感染すると、マルウェアは侵入したデバイスの情報を組み込みのコマンドアンドコントロール (C2) サーバーに送信し始めます。その後、ハッキングされたマシンは、第 2 段階 C2 サーバーと呼ばれる別のサーバーのセットとの通信を確立するための命令を受け取ります。セキュリティ研究者は調査中に、合計 15 台の第 2 段階の制御サーバーを特定しました。これらのサーバーは、x.509 証明書情報によって判断されるように、少なくとも 2021 年 10 月から稼働しています。

これらの第 2 段階 C2 サーバーの存在は、マルウェアの背後にある脅威アクターが使用する高度なインフラストラクチャと組織を浮き彫りにします。このことは、この永続的で捉えどころのないボットネットの影響と闘い、その影響を軽減する際に、サイバーセキュリティの専門家が直面する課題を浮き彫りにしています。

SOHO デバイスが侵害されると重大な結果が生じる可能性がある

サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) が最近発行した拘束力のある運用指令 (BOD) の中で、米国連邦政府機関は SOHO ルーターなど、インターネットに公開されたネットワーキング機器を保護するために直ちに措置を講じるよう義務付けられています。この指令では、連邦政府機関に対し、潜在的な侵害の試みを防ぐために、発見から 14 日以内にこれらのデバイスを強化することが求められています。

この緊急性の背後にある理由は、そのようなデバイスの侵害が成功すると、攻撃者が侵害されたルーターを攻撃インフラストラクチャに組み込むことができるようになるためです。これは、CISA が警告の中で強調しているように、標的となった組織の内部ネットワークへの横方向の移動の発射台として機能することになります。

脅威アクターによる AVrecon の利用には、トラフィックのプロキシと、パスワード スプレーなどの不正行為への関与という 2 つの目的があります。この独特な手口は、主に直接ネットワークをターゲットとするルーターベースのマルウェアのこれまでの発見とは一線を画しています。

この脅威の重大さは、SOHO ルーターが通常、従来のセキュリティ境界の外側で動作するという事実から生じます。その結果、防御側が危険な活動を検出する能力は大幅に低下します。この状況は、潜在的な侵害のリスクを軽減し、ネットワーク全体のセキュリティを強化するために、これらのデバイスを迅速に保護することが非常に重要であることを浮き彫りにしています。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...