Over 4,000 ISP IPs Targeted in Brute-Force Attacks to Deploy Info Stealers and Cryptominers
2025/03/04 TheHackerNews — 侵害済のホストに情報窃取や暗号通貨マイニングなどのツールを展開する、大規模なエクスプロイト・キャンペーンのターゲットとして、中国と米国西海岸の ISP (Internet Service Providers) が攻撃されている。この悪意のアクティビティにより、データの流出が容易になるだけではなく、標的システム上で永続性を確立するための、各種のバイナリも配信されたと、調査を実施した Splunk Threat Research Team は述べている。
先週に公開した技術レポートで、「身元不明の脅威アクターたちは、すでに侵害したアカウントで作成したアーティファクトを用いて、最小限のオペレーションで検出を回避している。この脅威アクターは、Python/Powershell などのスクリプトで実行されるツールを用いて、横方向への移動のためのインフラを構築し、制限された環境で C2 通信を達成するために Telegram などの API を呼び出している」と、Cisco 傘下の Splunk は述べている。
この攻撃では、脆弱な認証情報を窃取するための、ブルートフォース攻撃の利用が確認されている。これらの侵入の試みは、東ヨーロッパに関連する IP アドレスから発信されている。それにより、ISP プロバイダーたちが保有する、4,000 を超える IP アドレスが標的にされたと言われている。
一連の標的環境へのイニシャル・アクセスを取得した攻撃者は、PowerShell を介していくつかの実行ファイルをドロップし、被害者の計算リソースを悪用していく。具体的には、ネットワーク・スキャン/情報窃取/XMRig 暗号通貨マイニングなどの実施が判明している。
それらのペイロードを実行する前段階として、セキュリティ製品の機能を停止し、暗号通貨マイナーを検出するためのサービスを無効化している。
この脅威アクターが展開する情報スティーラーは、スクリーン・ショットのキャプチャも行う。それに加えて、Bitcoin (BTC)/Ethereum (ETH)/Binance Chain BEP2 (ETHBEP2)/Litecoin (LTC)/TRON (TRX) などの、暗号通貨のウォレット・アドレスを検索し、クリップボードの内容を盗むように設計されている。
その後に、収集された情報は Telegram ボットへ流出していく。さらに、感染したマシン上には、追加のペイロードを起動するためのバイナリもドロップされる:
- Auto.exe:ブルートフォース攻撃を実行するために、C2 サーバからパスワード・リスト “pass.txt” と、 IP アドレス・リスト “ip.txt” をダウンロードするように設計されている。
- Masscan.exe:マルチ・マススキャン・ツール。
Splunk は、「この攻撃では、米国西海岸と中国に存在する ISP の特定の CIDR (Classless Inter-Domain Routing) が、マススキャン・ツールの悪用によりターゲットにされた。続いて、大量の IP アドレスをスキャンするオペレーターにより、開いているポートが調査され、認証情報に対するブルートフォース攻撃が準備された」と述べている。
米中の ISP を標的とした、ブルートフォース・キャンペーンが発見されました。PowerShell や Telegram を利用し、情報窃取や暗号通貨のマイニングなどを展開しているとのことです。ブルートフォース (総当たり) 攻撃は、古典的でありながら、未だに健在している攻撃手法の1つです。よろしければ、以下の関連記事も、カテゴリ BruteForce と併せて、ご参照下さい。
2025/02/08:大規模ブルートフォース攻撃:280万の IP の悪用
2024/12/16:Citrix 警告:NetScaler 製品へのパスワード・スプレー攻撃
2024/12/12:Citrix NetScaler に対するブルートフォースが急増
IoT OT Security News 
You must be logged in to post a comment.