ネットワーク企業Lumen Technologiesのサイバーセキュリティ部門Black Lotus Labsが、WindowsやLinux、FreeBSDなどのエンタープライズサーバーから、SOHO向けのネットワーク機器まで、広範なデバイスを標的にするマルウェア「Chaos」を発見したと発表した。
この悪質なソフトウェアはLinuxボットネット「Kaiji」をベースとした機能を含んでおり、その亜種とも見られている。またGo言語で書かれたソースコードには中国語が含まれており、中国のC2(C&C:Command & Control)インフラによって操作されているとのこと。
Chaosは、遅くとも4月16日ごろには出現し、当初はコントロール・サーバーの最初のクラスタが野放し状態で活動していたようだ。その後、6月から7月中旬になると、研究者らはこのマルウェアが感染したとみられるデバイスにひも付く、数百のユニークなIPアドレスを見つけている。
また、Chaosマルウェアを拡散させる前段階で使われるステージングサーバーの数は、5月の39台から8月には93台、9月27日時点では111台にまで急増しているという。感染はヨーロッパに最も集中しており、北南米やアジア太平洋地域にも小規模なホットスポットがあることがわかる。
Black Lotus Labsの研究者はブログ投稿で「このマルウェアはArm、Intel(i386)、MIPS、PowerPCなどのアーキテクチャー、WindowsやLinuxを問わず動作するように設計されている」と述べ「Emotetのような大規模なランサムウェア配布ボットネットがスパムを利用して拡散・拡大するのとは異なり、Chaos は既知のCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)とブルートフォース、および盗んだ SSH キーを使って拡散していくと述べている。
Chaosの動作は「感染したネットワークに接続されているすべてのデバイスを探し出し、攻撃者がコマンドを実行できるようにするリモートシェルを起動したり、勝手に追加モジュールをロードするなど、さまざまな機能を備えている。このような幅広いデバイス上で動作する能力と相まって、Black Lotus Labsの研究者は、このマルウェアは「初期アクセス、DDoS攻撃、暗号通貨マイニングのために感染機器のネットワークを育成しているサイバー犯罪者の仕業」だと推測していると述べた。
Chaosへの感染を防止するために、最も基本的でなおかつ重要なのは、ネットワークにぶら下がるすべてのルーター、サーバー、その他デバイスを常に最新の状態に保つこと。そして簡単に推測できない強力なパスワードを設定し、FIDO2ベースの多要素認証を使用することだと、Black Lotus Labsの研究者は述べている。
また小規模オフィス向けルーターなどを使用している管理者は、1週間に1回程度はデバイスを再起動するのが良いとされる。これは、ネットワーク機器で動作するマルウェアの多くが再起動で駆除できるからだ(感染持続型のものも一部には存在する)。
研究者らは、いくつかの異なるChaosクラスタが紐付けられたC2サーバーとターゲットを発見した。そのうちのいくつかは、ゲーム、金融サービス、テクノロジー、メディアおよびエンターテインメント業界に対する最近のDDoS攻撃で使用されたとのことだ。
- Source:Lumen Tehnologies
- Source:Ars Technica