国際法執行パートナーはOperation Lightning作戦を実行し、悪意のあるプロキシサービス「SocksEscort」を解体しました。
このプロキシサービスは、2020年以来163カ国で360,000台以上のルーターおよびIoTデバイスを侵害し、最近数年間で「SocksEscort」顧客に35,000以上のプロキシを提供したと主張されています。
2026年2月の時点で、SocksEscortアプリケーションは顧客がアクセス権を購入できる約8000台の感染ルーターをリストアップしており、そのうち2500台が米国にあったと、米国司法省(DoJ)の声明は述べています。
このマルウェアにより、SocksEscortは感染ルーターを通じてインターネットトラフィックを誘導することができました。これらのルーターは、世界中のビジネスと個人に属していました。
マルウェアに感染したルーターにより、サイバー犯罪者は真の発信元IPアドレスと位置を隠すことができました。これにより、米国銀行や暗号資産アカウントの乗っ取り、および詐欺的な失業保険申請などの詐欺が促進されました。
SocksEscortはまた、ランサムウェア、分散型サービス拒否(DDoS)攻撃、および児童性虐待素材(CSAM)の配布を含む他の犯罪活動を可能にしました。
プロキシサービスへのアクセスを取得するために、顧客は暗号資産を使用してサービスを匿名で購入することを可能にする支払いプラットフォームを使用する必要がありました。このプラットフォームがプロキシサービス顧客から受け取った金額はほぼ600万ドルと推定されています。
そのような悪用から保護するために、ルーターユーザーとベンダーは定期的にデバイスのファームウェアを更新することをお勧めします。
3月11日の作戦実行日に、法執行機関は34のドメインと7カ国に位置する23台のサーバーを成功裏に削除し押収しました。
米国はまた、350万ドルの暗号資産を凍結しました。
Operation Lightning作戦に関与した法執行機関は、米国、オーストリア、フランス、オランダから参加しました。欧州連合刑事司法機関Eurojustも関与しました。
作戦実行日に、Europolはオランダのハーグの施設で仮想コマンドポストをホストし、すべてのパートナー間の調整を促進しました。
Lumen TechnologieのBlack Lotus LabsとShadowserver Foundationの両者は、調査と作戦実行中にサポートを提供しました。
翻訳元: https://www.infosecurity-magazine.com/news/socksescort-proxy-network-op/
