SOHOルーターとIoTデバイスを狙うマルウェア「TheMoon」に注意 6000台以上のASUS製ルーターに影響：セキュリティニュースアラート

Lumen TechnologiesはSOHOルーターとIoTデバイスを対象としたマルウェア「TheMoon」の新たなキャンペーンを報告した。このマルウェアは複数年にわたって活動を続け、最近は6000台以上のASUS製のルーターが標的となった。

[後藤大地，有限会社オングス]

　Lumen Technologiesは2024年3月26日、マルウェア「TheMoon」の新たなキャンペーンについて報告した。

一大botネットとして活動するTheMoon　侵入を防ぐためにできること

　TheMoonは小規模オフィス・ホームオフィス（SOHO）向けルーターとIoTデバイスを対象に複数年にわたって活動を続けているマルウェアで、最近では6000台以上のASUS製のルーターが標的になった。2024年には4万以上のbotで構成されるシステムとして活動していることが判明した。

　Lumen TechnologiesのBlack Lotus Labsチームは2024年3月に入ってから、6000台以上のASUS製のルーターを標的としたTheMoonの新たなキャンペーンを確認した。加えて、このネットワークが「SolarMarker」や「IcedID」などのbotネットのオペレーターによって使用されていることを発見した。

　TheMoonは2014年に観測されたマルウェアだ。2019年以降、その影響力は衰えていると考えられていたが、2024年1〜2月には88カ国の4万以上のbotを構築するシステムとしてアップデートされていたことが分かった。これらのシステムは「Faceless」と呼ばれるサイバー犯罪者向けのプロキシサービスに登録してその基盤として利用されている。

　Facelessは通信経路を匿名化するプロキシサービスであり、長くサイバー犯罪者に利用されている。Facelessを構築する全てのデバイスがTheMoonによってもたらされていると考えられないが、TheMoonがFacelessの主要なサプライヤーになっている可能性がある。

　侵入を受けて感染したルーターやデバイスはファイアウォールの書き換えやモジュールの入手などが実行され、botとして悪用されることになる。Facelessのbotの80％は米国に存在しており、米国内のアカウントと組織が主な標的であることが指摘されている。特に金融セクターに対するパスワードスプレーやデータ流出に関与していることが疑われている。

　Lumen TechnologiesはSOHO向けルーターのユーザーに対して、デフォルトパスワードは使わないこと、管理インタフェースをインターネットからアクセスできるようにしないこと、ルーターを定期的に再起動すること、セキュリティ更新プログラムを適用すること、サポートが終了したデバイスは交換することなどを推奨している。