新しい IPStorm 亜種は IoT デバイスを標的にします

6。 11月2020
| コメントはありません
IoTモノのインターネット

投稿を共有する

新しい InterPlanetary Storm マルウェアの亜種は、IoT デバイスを標的にしています。 感染したデバイスは、クリプトマイニング、DDoS、およびその他の大規模な攻撃のバックドアを開きます。

InterPlanetary Storm マルウェアの背後にいるサイバー犯罪組織が、Windows および Linux コンピューターに加えて Mac および Android デバイスを標的とする新しい亜種をリリースしました。 このマルウェアは、現在、世界 13.500 か国で感染した約 84 台のコンピューターを含むボットネットを構築しており、その数は増え続けています。

Windows と Linux の後、IoT デバイスになりました

Windows マシンを標的とした InterPlanetary Storm の最初の亜種が 2019 年 XNUMX 月に発見され、Linux マシンを攻撃できる亜種が今年の XNUMX 月に報告されました。 バラクーダの研究者が XNUMX 月下旬に初めて発見した新しい亜種は、Android オペレーティング システムを実行するテレビなどの IoT デバイスや、SSH サービスの構成が不十分なルーターなどの Linux ベースのマシンを標的にしています。 このマルウェアを構築するボットネットにはまだ明確な機能がありませんが、感染したデバイスへのバックドアをキャンペーン オペレーターに提供し、後でクリプトマイニング、DDoS、またはその他の大規模な攻撃に使用できるようにします。

マルウェアに感染したコンピュータの大半は、現在アジアにあります。

IPStorm に感染したマシン 10/20

• 感染したコンピュータの 59% は、香港、韓国、および台湾にあります。
• ロシアとウクライナで 8%
• ブラジルで 6%
• 米国およびカナダでは 5%
• スウェーデンでは 3%
• 中国では 3%
• 他のすべての国は 1% 以下を登録しています (ドイツは現在 0,5%)。

新しい InterPlanetary Storm マルウェアの仕組み

新しい InterPlanetary Storm マルウェアの亜種は、別のピアツーピア (P2P) マルウェアである FritzFrog と同様に、SSH サーバーで辞書攻撃を実行することによってマシンへのアクセスを取得します。 また、オープンな ADB (Android Debug Bridge) サーバーにアクセスしてアクセスすることもできます。 このマルウェアは、被害者の CPU アーキテクチャとオペレーティング システムを認識しており、ルーターやその他の IoT デバイスが非常に一般的に使用するアーキテクチャである ARM ベースのマシンで実行できます。 このマルウェアは、IPFS (InterPlanetary File System) p2p ネットワークとその基盤となる libp2p 実装を使用するため、InterPlanetary Storm と呼ばれています。 これにより、感染したノードは互いに直接、または他のノード (リレーなど) を介して通信できます。

新しいバリアントの特別な機能

InterPlanetary Storm のこの亜種は Go で記述され、libp2p の Go 実装を使用し、UPX でパッケージ化されています。 SSH ブルート フォースとオープン ADB ポートを使用して増殖し、マルウェア ファイルをネットワーク内の他のノードに配信します。 このマルウェアは、リバース シェルも有効にし、bash シェルを実行できます。 新しい亜種には、マルウェアがマシンに感染した後も永続的に保護されたままになるように設計された独自の機能がいくつかあります。

  • ハニーポットを検出します。 マルウェアは、標準のシェル プロンプト (PS04) で文字列「svr1」を検索します。これは、以前は Cowrie ハニーポットで使用されていました。
  • 自動的に更新されます。 マルウェアは、実行中のインスタンスのバージョンを利用可能な最新バージョンと比較し、それに応じて自身を更新します。
  • Go Daemon パッケージを使用してサービス (system/systemv) をインストールすることにより、永続化を試みます。
  • デバッガーや競合するマルウェアなど、マルウェアに脅威を与えるマシン上の他のプロセスを停止します。

惑星間嵐の新たな亜種に対する防御策

  • すべてのデバイスでの SSH アクセスの適切な構成: これは、パスワードの代わりにキーが使用され、アクセスがより安全になることを意味します。 パスワード ログインが有効で、サービス自体にアクセスできる場合、マルウェアは構成が不十分な攻撃面を悪用できます。 これは、多くのルーターや IoT デバイスにとって問題であり、このマルウェアの標的になりやすいです。
  • クラウド セキュリティ体制管理ツールを使用して SSH アクセス制御を監視し、重大な結果をもたらす可能性のある構成エラーを回避します。 必要に応じて、シェルへの安全なアクセスを提供する必要があります。 リソースをインターネット上の脅威にさらす代わりに、広範な IP ネットワークへのアクセスを許可するのではなく、MFA 対応の VPN 接続を展開し、特定のニーズに合わせてネットワークをセグメント化する必要があります。

 

Barracuda.com のブログで詳細をご覧ください。

 

[スターボックス=5]

 

トピックに関連する記事

レポート: 世界中でフィッシングが 40% 増加

カスペルスキーの 2023 年のスパムとフィッシングに関する現在のレポートがすべてを物語っています。ドイツのユーザーは次のようなことを求めています。 ➡続きを読む

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

欧州企業を狙うステルスマルウェア

ハッカーはステルスマルウェアを使ってヨーロッパ中の多くの企業を攻撃しています。 ESETの研究者は、いわゆるAceCryptor攻撃が劇的に増加していることを報告しました。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

テスト: エンドポイントおよび個々の PC 用のセキュリティ ソフトウェア

AV-TEST ラボからの最新のテスト結果は、Windows 向けの 16 の確立された保護ソリューションの非常に優れたパフォーマンスを示しています。 ➡続きを読む

広報メッセージ
, , , , ,