APT28のMoobot

APTなにがしと命名される脅威アクターが多数あります。
なんらかの形で国家の支援を受けて活動していると推測されているアクターです。
単に金銭を目的とした活動と考えにくいものが多くみられ、活動の規模の大きさから背後の組織の大きさを感じられることが多いものとなっています。
そういったAPTのひとつにAPT28があります。

これまで、この脅威アクターは多数の活動を展開してきました。
そして、今また注意が必要な活動が広がっています。
Moobotの蔓延です。

MoobotはMiraiボットネットマルウェアの亜種で、2021年から観測されています。
当初は中国最大の監視カメラ企業の製品の脆弱性を狙って増殖していましたが、2022年にはD-Linkルータの脆弱性を狙い感染を拡大させていました。

APT28の展開しているとみられる最近のMoobotの広がりでは、Ubiquiti Networks EdgeRouterが悪用されています。
Ubiquiti Networks EdgeRouterは、価格が安いのに機器のサイズが小さく、しかも高性能ということで、多くの国や地域で販売されています。

現在展開されているキャンペーンでは、APT28はEdgeRouterにデフォルトの認証情報で接続してきます。
そして、アクターはOpenSSHのサーバプロセスをトロイ化してしまいます。
これにより、リモートの攻撃者は、そのEdgeRouterに認証をバイパスして接続できる状態となってしまいます。

こうして自由に活動できる場所となってしまったEdgeRouterは、Moobotのボットネットの一部として活動を開始してしまいます。
ウェブメールアクセスのアカウント情報を不正に収集し、その検証もそこで実施する、なんていう活動が実施されます。
足場となったEdgeRouterからは、それ以外にも脆弱性を悪用するなどして様々な攻撃が実施されます。

手元で操作するパソコンの類については、最近は意識して更新する人も増えてきているのだと思います。
しかし、ルーターやWifiアクセスポイントなどの日常的に直接の操作を実施しない機器についてはいかがでしょうか。
きっちり定期的に最新のファームウェアであることを確認していて、設定も必要最小限に維持できていて妥当な状態である、と即答できるでしょうか。
面倒に感じることもありますが、蟻の一穴ということもありますので、しっかり維持していきたいものです。

参考記事（外部リンク）：Russian Cyber Actors Use Compromised Routers to Facilitate
Cyber Operations
www.ic3.gov/Media/News/2024/240227.pdf