ボットネットマルウェア VPNFilterがネットワークデバイスを標的に

VPNFilterはインテリジェンスの収集と破壊的なサイバー攻撃をともに可能にする能力を持つボットネットです。Cisco Talosのチームは最近、Cyber Threat Alliance(CTA)のメンバーに調査結果を報告、ブログでも知らせています。

このマルウェアはネットワーク機器をターゲットにしているとみられますが、最初の感染経路はわかっていません。この攻撃を最初に報告したTalosによると、この数年で少なくても50万台のネットワーク機器に感染していると伝えています。このマルウェアは感染したデバイスにとどまり、ウェブサイトの認証情報を盗み、Modbus SCADAプロトコルを監視することができます。また、ファイル収集、コマンド実行、データ抽出、デバイス管理を行い、さらに、感染したデバイスの一部や全部を使用不能の状態にしてしまう機能を持っています。

VPNFilterに感染が確認されているデバイスは、ネットワークアタッチドストレージ(NAS)デバイスのLinksys、 MikroTik、Netgearや、SOHO向けのネットワークデバイスTP-Link やQNAPなどです。

マルウェア感染のステージ

VPNFilterの感染には3つのステージがあります。

ステージ1では、システム内に完全に侵入、複数のコントロールメカニズムを使用してステージ2に向けてサーバーを検出し接続します。

ステージ2では、ファイル収集、コマンド実行、データ抽出、デバイスマネジメントに集中します。いくつかのバージョンは使用不能にするための自己破壊能力があります。

ステージ3では、次の2つのモジュールの存在が確認されています。

  • ウェブサイトの認証情報を盗み、Modbus SCADAを監視するためのトラフィックスニッファー
  • 匿名のアドレスを持つTor通信

IOCs とサンプルハッシュ

URLs and IPs

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
91.200.13[.]76
91.214.203[.]144
6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
6b57dcnonk2edf5a[.]onion/bin32/update.php

ファイルハッシュ

  • ステージ1
    • 50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
    • 0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
  • ステージ2 マルウェア
    • 9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
    • d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
    • 4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
    • 9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
    • 37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
    • 776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
    • 8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
    • 0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
  • ステージ3 マルウェア
    • f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
    • afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

対応範囲

上述のIOCsについては以下のようにカバーされています。

  • ファイル名の検出: Linux/VPNFilter and Linux/VPNFilter.a
    • V3 DAT with coverage version: 3353
    • V2 DAT with coverage version: 8902
  • すべてのサンプルはマルウェアとしてGTIに分類
  • すべての関連URLをGTIに分類

Talos脅威調査チームは以下の点を推奨しています。

  • 潜在的破壊力のあるステージ2とステージ3の非持続的マルウェアを排除するため、SOHOルーターとNASデバイスを再起動する
  • メーカーと協力してデバイスが最新のパッチに確実にアップデートし、アップデートされたパッチを速やかに適用する

ISPは顧客とも協力し、デバイスに確実に最新のファームウェアがあたっているようにする必要があります。

※本ページの内容は、2018年5月23日(US時間)更新のMcAfee Blogの内容に一部追記しています。
原文: VPNFilter Botnet Targets Networking Devices
著者: Xiaobing Lin

 

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速