SOHO向けネットワーク機器を標的とするマルウェア「Cuttlefish」に注意
2024年5月13日(月)7時52分 マイナビニュース
Lumen Technologiesはこのほど、「Eight Arms to Hold You: The Cuttlefish Malware - Lumen」において、小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けネットワーク機器を標的とするマルウェア「Cuttlefish」の詳細な分析結果を伝えた。Cuttlefishの存在は2023年7月から確認されており、2023年10月から2024年4月まで実施された最新のサイバー攻撃のnキャンペーンにおいても確認されたとしている。
○マルウェア「Cuttlefish」の概要
Lumen Technologiesによると、このマルウェアの感染経路は確認できていないという。しかしながら、一連の攻撃においてホストデータを収集してコマンド&コントロール(C2: Command and Control)サーバに送信するbashスクリプトが展開されており、このbashスクリプトからマルウェア「Cuttlefish」をダウンロードおよび実行することを確認したとのことだ。
Cuttlefishは、デバイスを通過するすべてのトラフィックを監視する機能を持ち、特定のアクティビティを検出した場合に活動を開始するとされる。この活動条件はC2サーバから送信される構成ファイルで指定される。Lumen Technologiesが確認した構成ファイルでは、プライベートIPアドレス宛のトラフィックをハイジャックし、特定の条件を満たしたパプリックIPアドレス宛てのトラフィックの認証情報を窃取するという。
また、このマルウェアにはオープンソースの仮想プライベートネットワーク(VPN: Virtual Private Network)ソフトウェア「GitHub - ntop/n2n: Peer-to-peer VPN」を実装するモジュールが存在することが確認されている。Lumen Technologiesはこのモジュールを使用することで、ネットワークセキュリティを回避する可能性があると指摘している。
○マルウェアが及ぼす影響と対策
Lumen Technologiesによると、被害者の約99%はトルコおよびトルコのインフラに依存する組織だという。米国のデータセンターに関連付けられたIPアドレスも被害に遭ったとみられているが、データセンター自体が侵害されたのか、データセンターを利用しているユーザー環境が侵害されたのかはわかっていない。
Lumen Technologiesはこの攻撃を回避するため、次のような対策の実施を推奨している。
位置情報(geofencing)や自律システム番号(ASN: Autonomous System number)によるブロックをバイパスする家庭向けIPアドレスを使用した接続においても、脆弱な認証情報や不審なログイン試行を検出する
TLS(Transport Layer Security)を使用してネットワークトラフィックを暗号化し、トラフィックの盗聴による認証情報の窃取を防止する
一時ディレクトリ(/tmp)にバイナリファイルや不正なiptablesエントリーなど、異常なファイルがないかどうかを検査する
メモリーに展開されるマルウェアを削除するために、定期的にネットワークデバイスの電源を入れ直す
クラウドなどに保管された価値のある機密情報へのリモート接続に証明書のピン留めを実装する
ネットワークデバイスのソフトウェアを最新の状態に維持する
ネットワークデバイスのデフォルトパスワードを使用していないかどうかを確認し、使用している場合は一意で強力なパスワードに変更する
インターネットからネットワークデバイスの管理インタフェースにアクセスできないことを確認する
デバイスがサポート終了(EOL: End-of-Life)となった場合は速やかに新しい機器へ交換する
また、Lumen Technologiesは今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/Cuttlefish_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。
○マルウェア「Cuttlefish」の概要
Lumen Technologiesによると、このマルウェアの感染経路は確認できていないという。しかしながら、一連の攻撃においてホストデータを収集してコマンド&コントロール(C2: Command and Control)サーバに送信するbashスクリプトが展開されており、このbashスクリプトからマルウェア「Cuttlefish」をダウンロードおよび実行することを確認したとのことだ。
Cuttlefishは、デバイスを通過するすべてのトラフィックを監視する機能を持ち、特定のアクティビティを検出した場合に活動を開始するとされる。この活動条件はC2サーバから送信される構成ファイルで指定される。Lumen Technologiesが確認した構成ファイルでは、プライベートIPアドレス宛のトラフィックをハイジャックし、特定の条件を満たしたパプリックIPアドレス宛てのトラフィックの認証情報を窃取するという。
また、このマルウェアにはオープンソースの仮想プライベートネットワーク(VPN: Virtual Private Network)ソフトウェア「GitHub - ntop/n2n: Peer-to-peer VPN」を実装するモジュールが存在することが確認されている。Lumen Technologiesはこのモジュールを使用することで、ネットワークセキュリティを回避する可能性があると指摘している。
○マルウェアが及ぼす影響と対策
Lumen Technologiesによると、被害者の約99%はトルコおよびトルコのインフラに依存する組織だという。米国のデータセンターに関連付けられたIPアドレスも被害に遭ったとみられているが、データセンター自体が侵害されたのか、データセンターを利用しているユーザー環境が侵害されたのかはわかっていない。
Lumen Technologiesはこの攻撃を回避するため、次のような対策の実施を推奨している。
位置情報(geofencing)や自律システム番号(ASN: Autonomous System number)によるブロックをバイパスする家庭向けIPアドレスを使用した接続においても、脆弱な認証情報や不審なログイン試行を検出する
TLS(Transport Layer Security)を使用してネットワークトラフィックを暗号化し、トラフィックの盗聴による認証情報の窃取を防止する
一時ディレクトリ(/tmp)にバイナリファイルや不正なiptablesエントリーなど、異常なファイルがないかどうかを検査する
メモリーに展開されるマルウェアを削除するために、定期的にネットワークデバイスの電源を入れ直す
クラウドなどに保管された価値のある機密情報へのリモート接続に証明書のピン留めを実装する
ネットワークデバイスのソフトウェアを最新の状態に維持する
ネットワークデバイスのデフォルトパスワードを使用していないかどうかを確認し、使用している場合は一意で強力なパスワードに変更する
インターネットからネットワークデバイスの管理インタフェースにアクセスできないことを確認する
デバイスがサポート終了(EOL: End-of-Life)となった場合は速やかに新しい機器へ交換する
また、Lumen Technologiesは今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/Cuttlefish_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。
