英国国家サイバーセキュリティセンター(NCSC-UK)および国際パートナーは、中国関連のハッカーが盗まれたコンシューマーデバイスの大規模プロキシネットワークを使用して検出を回避し、悪意のある活動を偽装することがますます増加していると警告した。
米国、オーストラリア、カナダ、ドイツ、日本、オランダ、ニュージーランド、スペイン、スウェーデンの機関によって共同署名されたこの合同勧告は、中国系ハッキンググループの大多数が個別に調達されたインフラストラクチャから、主に小規模オフィスおよびホームオフィスルーターで構成された大規模ボットネット、ならびにインターネット接続カメラ、ビデオレコーダー、およびネットワークアタッチトストレージ(NAS)機器へ切り替えたことを示唆している。
これらの大規模なボットネットにより、トラフィックを侵害されたデバイスのチェーン経由でルーティングできるようになり、ネットワークのある時点で入り、複数の中間ノードを通過し、地理的検出を回避するために目的のターゲットの近くで終了する。
「NSCSは、中国関連のほとんどの脅威行為者がこれらのネットワークを使用していると信じており、複数の秘密ネットワークが作成されており、常に更新されており、単一の秘密ネットワークが複数の行為者によって使用されている可能性があると考えている」と合同勧告は述べている。
「これらのネットワークは主に侵害された小規模オフィスホームオフィス(SOHO)ルーター、ならびにモノのインターネット(IoT)およびスマートデバイスで構成されている。」
Raptor Trainとして知られている中国の大規模ボットネットは、2024年に世界中の260,000台以上のデバイスに感染し、FBI により中国政府支援の Flax Typhoon ハッキンググループと中国企業 Integrity Technology Group(2025年1月に制裁対象)に関連していると特定された。
FBI はRaptor Train を破壊した。2024年9月、Black Lotus Labs の研究者の支援を受けて、主に米国と台湾で軍事、政府、高等教育、通信、防衛産業基盤(DIB)、IT セクターの組織を対象とするキャンペーンにリンクした後。
別のネットワーク(KV-Botnet)は中国政府支援の Volt Typhoon 脅威グループによって使用され、時代遅れで、セキュリティパッチを受け取らなくなった脆弱な Cisco および Netgear ルーターで主に構成されていた。FBI は 2024年1月に KV-Botnet を破壊した。感染したルーターからマルウェアを削除することにより、しかし Volt Typhoon は 2024年11月にゆっくりと復活を開始した。2月の初回失敗試行の後。
「ボットネット操作は、日常のインターネット接続デバイスの脆弱性を悪用し、大規模なサイバー攻撃を実行する可能性を持つことで、英国に重大な脅威をもたらしている」と、NCSC-UK のオペレーション担当ディレクターである Paul Chichester 氏は述べた。
勧告に署名した西側諜報機関は、これらのボットネットが継続的に新しい侵害されたノードを追加するため、悪意のあるIPアドレスの静的リストのブロックに基づく従来の防御がますます効果がなくなっていることを警告した。
代わりに、小規模、中規模、および大規模組織のネットワーク防御者は、多要素認証を実装し、ネットワークエッジデバイスをマッピングし、既知の秘密ネットワークインジケーターを含む動的脅威フィードを活用し、可能な限り IP ホワイトリスト、ゼロトラスト制御、および機械証明書検証を適用することをお勧めしている。
Mythos が発見した 99% はまだパッチが当たっていません。
AI はレンダラーと OS サンドボックスの両方をバイパスした 4 つのゼロデイを 1 つのエクスプロイトにチェーンしました。新しいエクスプロイトの波が来ています。
自律検証サミット(5 月 12 日および 14 日)では、自律的でコンテキストに富んだ検証がどのようにして悪用可能なものを見つけ、コントロールが保持されることを証明し、修復ループを閉じるかを確認してください。
