Lumenのブラック・ロータス・ラボのサイバーセキュリティ研究者は、「KadNap」と呼ばれる高度な新しいマルウェア株を発見しました。
この新たな脅威は既に14,000台を超えるエッジネットワークデバイスを侵害しており、主にAsusルーターを標的にしています。
これらの脆弱なデバイスを大規模なボットネットに強制的に組み込むことで、サイバー犯罪者は悪意のあるトラフィックをルーティングし、検出を回避しながらさらなるサイバー攻撃を開始するための隠れたプロキシネットワークを作成しています。
この発見は、脅威行為者が大規模な犯罪活動を支援するためにスモールオフィス・ホームオフィス(SOHO)ルーターを標的にする増加傾向を強調しています。
KadNapが特に危険な理由は、その指令・制御(C2)インフラストラクチャを隠蔽するための革新的なアプローチです。
マルウェアはKademlia分散ハッシュテーブル(DHT)プロトコルのカスタムバージョンを利用しています。正規のアプリケーションでは、DHTはBitTorrentのようなピアツーピアネットワークによって、中央サーバーなしに効率的に複数のユーザー間でデータを探すために使用されます。
KadNapはこの概念を武器化して、標準的なピアツーピアトラフィックの背景ノイズ内に制御サーバーを隠しています。これにより、ネットワーク防御者がボットネットを管理するサーバーを追跡またはブロックすることが非常に困難になります。
感染プロセスは、ターゲットデバイスが「aic.sh」という名前の悪意のあるシェルスクリプトをダウンロードするときに始まります。このスクリプトは、1時間ごとに実行されるcronジョブとして知られるスケジュール済みタスクを設定することで、ルーター上の永続性を確立します。
永続性が確保されると、スクリプトは「kad」という名前のファイルである主要な悪意のある実行可能ファイルをダウンロードします。
デバイスがKadNapボットネットに完全に組み込まれると、そのインターネット接続は「ドッペルゲンガー」として知られる犯罪プロキシサービスを通じてパッケージ化され販売されます。
セキュリティアナリストは、ドッペルゲンガーが以前は不正な「TheMoon」マルウェアキャンペーンに関連していた悪名高いプロキシサービスであるFacelessの名前変更版であると信じています。
KadNapボットネットの規模の大きさは、グローバルなインターネットエコシステムに対して重大なリスクをもたらします。テレメトリデータは、ボットネットが1日平均14,000のアクティブな被害デバイスを維持していることを示しています。
感染は地理的に集中しており、侵害されたルーターの約60%が米国に位置しています。その他の大きな影響を受けた地域には、台湾、香港、ロシアが含まれます。
悪意のあるトラフィックが通常のホームインターネット接続から発信されるため、容易にlumen従来のものをバイパスジオフェンシングと基本的なネットワークブロックします。
KadNapマルウェアから保護し、デバイスがこの悪意のあるプロキシネットワークに強制的に組み込まれることを防ぐために、セキュリティ専門家は以下の複数の重要な軽減戦略を推奨しています:
翻訳元: https://cyberpress.org/kadnap-hits-14000-routers/