米国、ロシアのハッカー集団「APT28」に感染したルーターを駆除するよう各組織に要請

米国政府は最近、ファンシー ベアまたはセドニットとしても知られるロシアのAPT28グループが実施したサイバースパイ活動に対して措置を講じました。 「 Moobot 」と呼ばれるマルウェアに感染したユビキティルーターで構成されるボットネットの解体を受けて、当局は現在、破壊活動を支援するためにデバイスをクリーンアップするよう組織や個人に呼び掛けている。

感染したルーターは、主に小規模オフィス/ホーム オフィス (SOHO) 設定で使用されており、デフォルトの認証情報を悪用し、Moobot に関連する OpenSSH サーバー プロセスをトロイの木馬化するサイバー犯罪者によって侵害されました。その後、APT28 はこれらのルーターの制御を獲得し、航空宇宙、エネルギー、政府、製造、テクノロジーなど、ヨーロッパ、中東、米国のさまざまな分野を標的とした秘密作戦に利用しました。

APT28 攻撃者はルーター内に侵入すると、認証情報の収集、ネットワーク トラフィックのプロキシ、カスタムのエクスプロイト後ツールの展開など、さまざまな戦術を利用しました。また、Outlook のゼロデイ脆弱性を悪用して対象のアカウントから資格情報を収集し、さらに資格情報を収集するために Python スクリプトを展開しました。

さらに、APT28 は侵害されたルーターをコマンド アンド コントロールの目的で利用し、MasePie と呼ばれる Python バックドアのインフラストラクチャとして使用しました。このグループは、リバース プロキシ接続の確立や SSH RSA キーのアップロードなどの高度な技術を使用して、リバース SSH トンネルを確立しました。

この脅威に対処するために、この勧告では、デバイスの出荷時設定へのリセット、ファームウェアの更新、デフォルトの資格情報の変更、ファイアウォール ルールの実装など、いくつかの緩和策を推奨しています。組織と消費者は、提供された侵害指標 (IoC) を利用して感染の兆候を検出し、将来の同様の侵害を防ぐために必要な措置を講じることが推奨されます。

全体として、米国政府の行動喚起は、APT28 によってもたらされる継続的な脅威と、サイバースパイ活動を防ぐためにネットワーク インフラストラクチャを保護することの重要性を強調しています。