Microsoft が Trickbot 対策オープンソース・ツールを公表: MikroTik ルーターをスキャン

Microsoft Releases Open Source Tool for Securing MikroTik Routers

2022/03/17 SecurityWeek — TrickBot は、2016年から出回っているマルウェアである。当初は金融データを盗むために設計されたバンキング・トロイの木馬だったが、現在では幅広い情報を狙うことができる、モジュール型の情報窃取マルウェアへと進化している。研究者の中には、このマルウェアは限界に達しており、利用可能な膨大な IoC により簡単に検出できるようになったことで、その開発チームはランサムウェア・グループの Conti により買収されたと考える者もいる。

しかし、サイバー・セキュリティ企業の中には、数十社の有名企業の顧客を狙った、大規模なキャンペーンが依然として行われており、このマルウェアは稼働していると捉える組織もいる。

Trickbot の運営者は、以前から MikroTik ルーターを Command and Control (C&C) に悪用しており、検出を回避するために C&C サーバーのプロキシとして活用している。Trickbot による MikroTik 製品の悪用は、2020年に実施された Microsoft 主導のテイクダウンを、このマルウェアが乗り切った後に、注目されるようになった。現時点で Microsoft は、同社の研究者たちが MikroTik ルーターの悪用方法を正確に突き止め、これらのデバイス上での Trickbot ハッキングの兆候の有無を確認する、ツールを作成したと述べている。

Microsoft によると、攻撃者は、デフォルト・パスワードの使用および、ブルートフォース攻撃、古い脆弱性の悪用によるパスワード窃取により、MikroTik ルーターを危険にさらすようだ。続いて攻撃者は、ルーターの2つのポート間でトラフィックをリダイレクトする独自のコマンドを発行し、Trickbot が侵害したデバイスと C2 サーバーの間で通信回線を確立する。Microsoft は、「MikroTik のデバイスは、RouterBOARD と RouterOS という独自のハードウェアとソフトウェアを持っている。つまり、このようなコマンドを実行する攻撃者は、RouterOS の SSH シェルコマンドの専門知識が必要になる」と述べている。

今週に Microsoft が公開したオープンソース・ツールは、RouterOS Scannerと名付けられ、MikroTik デバイスのフォレンジック・ツールである説明されている。このツールは、デバイスが侵害された可能性や、不審なプロパティの探索などを可能にする。

具体的には、このツールは、対象デバイスのバージョンをチェックし、既知の脆弱性にマッピングする。また、スケジュールされたタスク/トラフィック・リダイレクト・ルール/DNSキャッシュ・ポイズニング/デフォルト・ポート変更/デフォルト以外のユーザー/疑わしいファイル/プロキシ/SOCKS/ファイアウォール・ルールなどを検索することが可能にする。

3月17日の「TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる」という記事で、MSTIC は、「TrickBotは、C2 サーバーのプロキシ・サーバーとして MikroTik ルーターを使用し、標準以外のポート経由でトラフィックをリダイレクトすることで、標準セキュリティ・システムによる検出から悪質な IP を回避させる、別の永続層を追加している」と述べています。そして、「次段階のペイロードである Conti ランサムウェアなどへの Access-as-a-Service を提供するなど、高度で持続性のある脅威へと進化している」とも指摘されています。それらのことが、RouterOS Scanner の背景にあるのかもしれません。

%d bloggers like this: