サイバーセキュリティおよび情報機関は、Ubiquiti EdgeRouterのユーザーに対し、ロシアに関連する脅威アクターAPT28が使用するMooBotボットネットの脅威に対する保護措置を講じるよう警告している。このボットネットは、法執行機関による「Dying Ember」というコードネームの作戦の一環で摘発された後の数週間で、APT28によって秘密のサイバー作戦を支援し、カスタムマルウェアを配布するために使用されていた。
APT28は、少なくとも2007年から活動しているとされ、ロシアの総参謀本部(GRU)の主要局に所属している。このグループは、EdgeRoutersを全世界で侵害し、認証情報の収集、NTLMv2ダイジェストの収集、ネットワークトラフィックのプロキシ、スピアフィッシングのランディングページおよびカスタムツールのホスティングに使用している。
攻撃は、デフォルトまたは弱い認証情報を持つルーターを対象とし、OpenSSHトロイの木馬を展開してAPT28がbashスクリプトやその他のELFバイナリを配布し、認証情報を収集し、ネットワークトラフィックをプロキシし、フィッシングページをホストする。また、特定のWebメールユーザーのアカウント認証情報をアップロードするPythonスクリプトも含まれている。
APT28は、Microsoft Outlookにおける権限昇格の脆弱性CVE-2023-23397を悪用している。この脆弱性は、ユーザーの操作なしにNT LAN Manager(NTLM)ハッシュの盗難やリレー攻撃を可能にする。
組織には、ルーターのハードウェア工場リセットを実行して悪意のあるファイルを消去し、最新のファームウェアバージョンにアップグレードし、デフォルトの認証情報を変更し、リモート管理サービスの露出を防ぐためのファイアウォールルールを実装することが推奨されている。
【ニュース解説】
Ubiquiti EdgeRouterのユーザーに対して、APT28と呼ばれるロシアに関連する脅威アクターが使用するMooBotボットネットの脅威について、アメリカを含む複数国のサイバーセキュリティおよび情報機関が警告を発しています。このボットネットは、法執行機関による「Dying Ember」という作戦で摘発された後も、APT28によって秘密のサイバー作戦を支援し、カスタムマルウェアを配布するために使用されていたとされています。
APT28は、2007年から活動しているとされ、ロシアの総参謀本部(GRU)の主要局に所属しています。このグループは、EdgeRoutersを侵害して、認証情報の収集、NTLMv2ダイジェストの収集、ネットワークトラフィックのプロキシ、スピアフィッシングのランディングページおよびカスタムツールのホスティングに使用しています。
攻撃は、デフォルトまたは弱い認証情報を持つルーターを対象としており、APT28はOpenSSHトロイの木馬を展開してbashスクリプトやその他のELFバイナリを配布し、認証情報を収集し、ネットワークトラフィックをプロキシし、フィッシングページをホストします。また、特定のWebメールユーザーのアカウント認証情報をアップロードするPythonスクリプトも含まれています。
APT28は、Microsoft Outlookにおける権限昇格の脆弱性CVE-2023-23397を悪用しています。この脆弱性は、ユーザーの操作なしにNT LAN Manager(NTLM)ハッシュの盗難やリレー攻撃を可能にします。
組織には、ルーターのハードウェア工場リセットを実行して悪意のあるファイルを消去し、最新のファームウェアバージョンにアップグレードし、デフォルトの認証情報を変更し、リモート管理サービスの露出を防ぐためのファイアウォールルールを実装することが推奨されています。
このニュースは、ルーターがサイバー攻撃の発射台としてどのように利用され得るか、そして国家支援のハッカーがどのようにしてこれらのデバイスを悪用しているかについての認識を高めます。また、組織や個人が自身のネットワークセキュリティを強化するために取るべき具体的な措置についても示唆しています。このような攻撃は、特定のセクターや国に限定されず、グローバルな脅威であるため、幅広い警戒と対策が必要です。サイバーセキュリティの維持は、常に進化する脅威に対応するために、継続的な努力と更新が求められる分野であることが再確認されます。
from Cybersecurity Agencies Warn Ubiquiti EdgeRouter Users of APT28's MooBot Threat.
