TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる

TrickBot Malware Abusing MikroTik Routers as Proxies for Command-and-Control

2022/03/17 TheHackerNews — 水曜日に Microsoft は、マルウェア TrickBot について、これまで発見されていなかった、IoT デバイスを仲介した Command and Control (C2) サーバーとの、通信の確立に関する詳細な手法を発表した。Microsoft の Defender for IoT Research Team and Threat Intelligence Center (MSTIC) は、「TrickBotは、C2 サーバーのプロキシ・サーバーとして MikroTik ルーターを使用し、標準以外のポート経由でトラフィックをリダイレクトすることで、標準セキュリティ・システムによる検出から悪質な IP を回避させる、別の永続層を追加している」と述べている。

バンキング・トロイの木馬として 2016年に登場した TrickBot は、そのモジュラー・アーキテクチャにより、各種のネットワーク/環境/デバイスに戦術を適応させるだけはなく、次段階のペイロードである Conti ランサムウェアなどへの Access-as-a-Service を提供するなど、高度で持続性のある脅威へと進化している。

TrickBot における機能拡張は、ボットネット攻撃フレームワークの耐久性の向上や、リバース・エンジニアリングの回避といった、C2 サーバーの安定性を維持するために継続的に改良されたものである。そのボットネットのインフラはオフラインになっていたが、そのタイミングで MSTIC は報告している。

MSTIC が具体的に特定した新たな手法は、MikroTik ルーターなどのハッキングした IoT デバイスを悪用し、TrickBot が侵害したデバイスと C2 サーバーの間に通信回線を作るというものだ。

そのための事前の処理として、デフォルト・パスワード/ブルートフォースによる攻撃や、MikroTik RouterOS の脆弱性 CVE-2018-14847 (パッチ適用済み) の悪用という手法などを組み合わせてルーターに侵入し、その後に、ルーターのパスワードを変更してアクセスを維持しているという。

次のステップで攻撃者は、ルーターの Port 449 と 80 の間でトラフィックをリダイレクトするように設計された、ネットワーク・アドレス変換 (NAT) コマンドを発行し、TrickBot に感染したホストが C2 サーバーと通信するための経路を確立している。

研究者たちは、「従来のコンピューティング・デバイスのセキュリティ・ソリューションが進化し改善され続ける中で、攻撃者は標的のネットワークを侵害する別の方法を模索するようになるだろう。ルーターや IoT デバイスなどに対する攻撃の試みは新しいものではなく、その管理が杜撰であるため、ネットワークの最も弱いリンクになりやすい」と述べている。

MikroTik はラトビアのネットワーク機器メーカーとのことで、このブログでは、2021年9月9日の「Mēris ボットネット:Yandex DDoS 攻撃で 2180 万 RPS を記録」、10月20日の「DDoS レポート:ロシア企業に対する攻撃が前年比で 2.5 倍になっている」、そして、2022年2月23日の「ウクライナで発見されたデータ消去マルウェア:ロシアによる侵攻と連携か?」に登場しています。いずれも、Mirai や Mēris などのボットネットに悪用されてきたようですが、今回の TrickBot は Access-as-a-Service へと目的を変化させています。

%d bloggers like this: