SOHOルーターとIoTデバイスを狙うマルウェア「TheMoon」に注意 6000台以上のASUS製ルーターに影響:セキュリティニュースアラート
Lumen TechnologiesはSOHOルーターとIoTデバイスを対象としたマルウェア「TheMoon」の新たなキャンペーンを報告した。このマルウェアは複数年にわたって活動を続け、最近は6000台以上のASUS製のルーターが標的となった。
Lumen Technologiesは2024年3月26日、マルウェア「TheMoon」の新たなキャンペーンについて報告した。
一大botネットとして活動するTheMoon 侵入を防ぐためにできること
TheMoonは小規模オフィス・ホームオフィス(SOHO)向けルーターとIoTデバイスを対象に複数年にわたって活動を続けているマルウェアで、最近では6000台以上のASUS製のルーターが標的になった。2024年には4万以上のbotで構成されるシステムとして活動していることが判明した。
Lumen TechnologiesのBlack Lotus Labsチームは2024年3月に入ってから、6000台以上のASUS製のルーターを標的としたTheMoonの新たなキャンペーンを確認した。加えて、このネットワークが「SolarMarker」や「IcedID」などのbotネットのオペレーターによって使用されていることを発見した。
TheMoonは2014年に観測されたマルウェアだ。2019年以降、その影響力は衰えていると考えられていたが、2024年1〜2月には88カ国の4万以上のbotを構築するシステムとしてアップデートされていたことが分かった。これらのシステムは「Faceless」と呼ばれるサイバー犯罪者向けのプロキシサービスに登録してその基盤として利用されている。
Facelessは通信経路を匿名化するプロキシサービスであり、長くサイバー犯罪者に利用されている。Facelessを構築する全てのデバイスがTheMoonによってもたらされていると考えられないが、TheMoonがFacelessの主要なサプライヤーになっている可能性がある。
侵入を受けて感染したルーターやデバイスはファイアウォールの書き換えやモジュールの入手などが実行され、botとして悪用されることになる。Facelessのbotの80%は米国に存在しており、米国内のアカウントと組織が主な標的であることが指摘されている。特に金融セクターに対するパスワードスプレーやデータ流出に関与していることが疑われている。
Lumen TechnologiesはSOHO向けルーターのユーザーに対して、デフォルトパスワードは使わないこと、管理インタフェースをインターネットからアクセスできるようにしないこと、ルーターを定期的に再起動すること、セキュリティ更新プログラムを適用すること、サポートが終了したデバイスは交換することなどを推奨している。
関連記事
- Emotetのbotネットが日本で大規模発生中 Lumenが観測データを公開し注意喚起
LumenはEmotetに関する観測データを公開した。データによれば、Emotetのbotネットは日本をはじめとしたアジア地域に多く分布していることが分かった。 - ウィズセキュア、パートナー向けに「Exposure Management」の早期プログラムを開始
ウィズセキュアは、デジタル資産の可視化やリスクの把握を支援するソリューション「Exposure Management」のパートナー向け早期パイロットプログラムの提供を開始すると発表した。 - クラウドストライクが2024年の脅威レポートを公開 クラウド狙いの攻撃が激化
クラウドストライクは「クラウドストライク2024年版グローバル脅威レポート」を発表した。脆弱なクラウド環境への攻撃増加やステルス性とスピードを重視したサイバー攻撃が急増すると指摘している。 - Tenable Oneに生成AI関連の新機能 AIに攻撃経路の解説や質問が可能に
Tenableはサイバーエクスポージャー管理プラットフォーム「Tenable One」の生成AI機能「ExposureAI」を強化し、複数の新機能を追加した。サイバー攻撃経路の要約やAIアシスタントへの質問などが可能になる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.