NetNutプロキシネットワークが摘発され、感染デバイス200万台が遮断

Googleを含む複数機関の共同作戦により、数百万台もの侵害されたAndroidデバイス(スマートTVやストリーミングデバイスを含む)へのアクセスを提供していた住宅用プロキシネットワーク「NetNut」が摘発され、機能停止に追い込まれました。

「Popa」としても知られるNetNutボットネットは、サイバー犯罪者やスパイ活動を行うグループが攻撃を仕掛ける際、正規の家庭用インターネットアドレスの背後に身を隠すことを可能にしていました。

Google Threat Intelligence Group(GTIG)によると、この住宅用プロキシボットネットは、少なくとも200万台の侵害されたデバイスで構成されていると推定されています。

Googleは BleepingComputer に対し、次のように述べています。「GTIGの推定では、Netnutは世界中で少なくとも200万台の感染デバイス(スマートTVやストリーミングデバイスを含む)を制御しており、プロキシプラグインを組み込んだトロイの木馬化アプリケーションや、Badbox 2.0のようなボットネットによって動いています」

住宅用プロキシネットワークは、家庭内のシステムを侵害し、そのアクセス権を販売することで成り立っています。これにより脅威アクターは、被害者の住宅用IPアドレスを経由して悪意あるトラフィックを流し、正体を隠すことができます。

通常、家庭用デバイスは、購入前に事前インストールされているか、あるいはユーザーがダウンロードした悪意あるアプリケーションやトロイの木馬化されたアプリケーションを通じてマルウェアに感染することで、ボットネットの一部となります。

その結果、感染した一般消費者向けデバイスはボットネットの出口ノードとして機能し、不正なネットワークトラフィックを自らの住宅用IPアドレス経由で流すことになります。これにより、インターネットサービスプロバイダーやオンラインサービスから不審なデバイスとしてフラグを立てられたり、ブロックされたりする可能性があります。

NetNutボットネットの解体には、Google、FBI、Lumen Technologies、The Shadowserver Foundation、その他の業界パートナーが関与する協調的な取り組みが行われました。

Image

この悪意あるプロキシサービスは、世界最大級のネットワークの一つとされ、数百もの脅威アクターに利用されていました。

複数のドメインを使用しており、その中にはnetnut.comも含まれています。このドメインはFBIによって差し押さえられました。

Mandiantのコミュニケーションマネージャーを務めるMark Karayan氏は、BleepingComputerに対し次のように述べています。「摘発チームに確認したところ、他に差し押さえられたドメインとともに、.comドメインも彼らによって使用されていたことが確認されました」

攻撃者に先んじて、すべての防御層をテストする

セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが発報されるのはたった14%に過ぎません。残りは検知されないまま環境内を通り抜けています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/netnut-proxy-network-disrupted-2-million-infected-devices-cut-off/

ソース: bleepingcomputer.com