複数国の当局がSocksEscortを摘発した。同ネットワークはサイバー犯罪者が大規模詐欺行為に使用した住宅用プロキシネットワークで、司法省は木曜日に2020年以来約369,000個のIPアドレスへのアクセスを保有していたと述べた。
調査を支援したユーロポール、複数の法執行機関、LumenのBlack Lotus Labs、およびShadowserver Foundationは、悪質なプロキシサービスが163カ国のルーターとIoTデバイスを侵害したと述べた。当局者によると、プロキシネットワークの支払いプラットフォームは顧客から約580万ドルを受け取った。
Operation Lightningと呼ばれるグローバル調整行動は、7カ国で34のドメインと23台のサーバーを削除・押収した。米国当局は、感染したデバイスから作成されたボットネットに関連すると思われる合計350万ドルの暗号資産を凍結した。
「サイバー犯罪は匿名性で繁栄する」とユーロポール行政長官のキャサリン・デ・ボルが声明で述べた。「SocksEscortのようなプロキシサービスは、犯罪者に攻撃を開始し、違法コンテンツを配布し、検出を回避するために必要なデジタルカバーを提供する。」
当局者によると、SocksEscortの運営者は、名前が明かされていないベンダーの住宅用モデムの脆弱性を悪用することでボットネットを組み立てた。
サイバー犯罪作戦がアメリカ人と米国企業に数百万ドルの詐欺をもたらしたと司法省は述べた。SocksEscortが2月に広告した8,000台の感染ルーターの4分の1以上が米国に拠点を置いていた。
SocksEscortは2009年に運用を開始し、そのコマンドアンドコントロールインフラは長期間にわたってほとんどのツールで検出されなかったと、Black Lotus LabsのセキュリティエンジニアであるRyan Englishはサイバースクープに語った。
AVReconマルウェアによって駆動されたボットネットのインフラストラクチャは捉えがたく、一貫して高い量を維持し、2024年初頭から週平均20,000の被害者を記録した。Black Lotus Labsの調査によると、2025年1月に毎日15,000を超える被害者を捕捉したときに影響が最高潮に達した。
同社は2025年初頭以来、プロキシネットワークの被害者として280,000個のユニークIPを観察したと述べ、SocksEscortの被害者の半数以上が米国と英国に拠点を置いていた。
「被害者発生量が多いことを考えると、彼らが最終的に本当に重要な何かに当たり、それが彼らを狙うネットワークのリストで上に移動させたとしても驚かないだろう」とBlack Lotus LabsのシニアリードセキュリティエンジニアであるChris FormosaはサイバースクープのDrakeに語った。
「彼らはサイバー犯罪者にのみ独占的にマーケティングを行い、他の場所ではしなかった」と彼は付け加えた。「このようなネットワークでは、法執行機関がバックエンドインフラストラクチャへの法的アクセスを獲得すると、ボットネット運用者以外の他の脅威アクターについて多くのインテリジェンスを彼らに与えることができる。」
オーストリア、ブルガリア、ユーロジャスト、フランス、ドイツ、ハンガリー、オランダ、ルーマニアからのさまざまな機関が調査と摘発を支援した。
翻訳元: https://cyberscoop.com/socksescort-proxy-network-botnet-takedown/
