The 7777-Botnet Exploit: A New Threat to TP-Link, Xiongmai, and Hikvision
2024/01/18 SecurityOnline — サイバー・セキュリティの領域において、長年にわたり課題となっているのは、洗練されたボットネットへの対処である。侵害されたデバイスで構成されるネットワーク 7777-Botnet は、そのような手ごわい存在の1つであり、世界中のセキュリティ専門家たちの注目を集めている。このボットネットは、2023年10月から話題になり始めており、Microsoft Azure のユーザー認証情報に対するブルートフォース攻撃を介して、米国と欧州の VIP ユーザーを標的としているものだ。また、7777-Botnet は、Scattered Spider や Lazarus といった、悪名高い脅威アクターたちと関連していることでも注目されている。
VulnCheck によると、7777-Botnet は、さまざまなデバイスの脆弱性を悪用しているようだ。それらの対象デバイスは、TP-Link ルーター/Xiongmai デバイス/Hikvision カメラなどである。
具体的な脆弱性として挙げられるのは、CVE-2017-7577/CVE-2018-10088/CVE-2022-45460/CVE-2021-36260/CVE-2022-24355 などである。それらの既知の脆弱性を悪用する感染ベクターは多様であり、また、パブリックな PoC エクスプロイトの利用も可能であるため、重要な脅威となっている。
7777-Botnet の興味深い点は、ポート 11288 で SOCKS5 サーバーを起動する能力にある。この機能は、初期のドキュメントには記述されていなかったが、攻撃者のインフラにおける 7777-Botnet の役割が、以前考えられていた以上に重要であることが示唆される。
研究者たちは、「7777-Botnet は、TP-Link/Xiongmai/Hikvision が存在しないシステム上でも確認されている。ただし、その量は大幅に減少しており、単なるハニーポットであることを示している可能性もある。私たちの観測によると、このボットネットは、MVPower (CVE-2016-20016)/ Zyxel NAS (CVE-2020-9054)/GitLab (CVE-2021-22205) なども悪用しているようだ」と述べている。
7777-Botnet の継続的な活動と、既知の脆弱の悪用は、サイバー・セキュリティに対する警戒の必要性を強調している。組織や個人に対して推奨されるのは、感染したホストを隔離し、悪用された脆弱性を修正することである。それにより、このような広範な脅威から、自身のネットワークが適切に保護されていることを確認できる。
7777-Botnet の絶え間ない進化と回復力は、ダイナミックに変化し続けるサイバー脅威の状況を再認識させるものである。デジタル時代において、インフラの安全性を確保するためには、こうした脅威に先手を打つことが何よりも重要になってくる。
このブログでは、初登場の 7777-Botnet となります。強敵とするのは、TP-Link ルーターおよび Xiongmai や Hikvision IP カメラの脆弱性とのことです。また、関与する脅威アクター・グループとしては、Scattered Spider や Lazarus などが挙げられています。よろしければ、Botnet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.