研究者によると、Windowsパソコンを標的にしたボットネット(botnet)が急速に拡大している。マルウェアがコンピューターからコンピューターへと拡散することを可能にする新たな感染テクニックのためだ。
Purle Fox(パープル・フォックス)というマルウェアが最初に発見されたのは2018年で、フィッシングメールやエクスプロイトキットを通じて拡散した。犯行グループが既存のセキュリティ欠陥を利用して機器を感染させる手段だ。
セキュリティ企業Guardicoreの研究者であるAmit Serper(アミット・サーパー)氏とOphir Harpaz(オフィール・ハーパズ)氏は、この新しい感染方法を発見してブログで公表し、このマルウェアがインターネット接続された弱いパスワードのWindowsパソコンを標的にして、拡散を加速するための足場に使っていることを伝えた。
関連記事:カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立
マルウェアはWindowsユーザーアカウントの弱いパスワードを、サーバー・メッセージ・ブロック(SMB)を標的にして推測する。SMBはWindowsがプリンターやファイルサーバーなどの外部デバイスと会話するのに使う機能だ。一度脆弱なコンピューターへのアクセスを獲得すると、マルウェアは2000近くのすでに侵入されているWindowsウェブサーバーのネットワークの中から悪意のあるペイロード(malicious payload)の引き金を引き、ルートキットをこっそりとインストールして、そのマルウェアをコンピューターに永住させ、検出や除去をいっそう困難にする。
一度感染すると、マルウェアは自分が感染に利用したファイアウォールのポートを閉じることで、再度の感染やすでにハッキングされたパソコンを他の犯行グループがハイジャックするのを防ごうとする、と研究者らはいう。
次にマルウェアはインターネットアドレスのリストを生成し、パスワードの弱い脆弱なパソコンをインターネットで探し、さらに感染を広げて侵入されたコンピューターのネットワークを拡大していく。
ボットネットは、犯行グループが制御しているネットワークに何十万台のハックされたデバイスが登録されて作られる。これを使ってDoS攻撃を仕かけ、無駄なトラフィックで標的となった組織のネットワークを停止に追い込む。しかし、これらのデバイスを制御することで、犯行グループはボットネットを使ってマルウェアやスパムを拡散したり、感染したコンピューターにファイル暗号化ランサムウェアを送り込むこともできる。
しかしこの種のワーム侵入型ボットネットは、自分自身で拡散するためリスクはさらに大きい。
Guardicoreのセキュリティ研究副社長であるサーパー氏は、ワーム侵入型感染技法は従来のフィッシングやエクスプロイトキットよりも「安上がり」に実行できると語った。
「インターネットを常時監視して脆弱なマシンを探す日和見的攻撃であるということは、犯罪者はある意味で『セットしたら忘れる』ことができることを意味しています」と彼は述べた。
企みは成功しているようだ。Purple Fox感染は2020年5月以降600%急増していることをGuardicore独自のインターネットセンサーネットワークのデータが示している。実際の感染数はずっと多いに違いなく、2020年だけで9万例を越えるだろう。
Guardicoreは、自身が感染しているかどうかをネットワークが調べるための侵略指標を公開した。これらのボットネットが何に使われるのかは研究者にもわかっていないが、サイズの大きさが組織にとってリスクになることを警告している。
「これは将来何かをするための基盤を作っているのだろうと私たちは考えています」とサーパー氏は語った。
カテゴリー:セキュリティ
タグ:マルウェア、Windows
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:Nob Takahashi / facebook )