ViciousTrap が構築する悪意のハニーポット？ 侵害した 5,300 台の Cisco デバイスを介して情報を収集

ViciousTrap Uses Cisco Flaw to Build Global Honeypot from 5,300 Compromised Devices

2025/05/23 TheHackerNews — ViciousTrap というコードネームを持つ脅威アクターが、84カ国で約 5,300台のネットワーク・エッジデバイスを侵害し、ハニーポットのようなネットワークを構築したことを、サイバー・セキュリティ研究者たちが明らかにした。

Cisco の Small Business RV016／RV042／RV042G／RV082／RV320／RV325 ルーターに影響を及ぼす、深刻な脆弱性 CVE-2023-20118 を悪用する脅威アクターが、これらのデバイスを一斉に、ハニーポット群に取り込む様子が確認されている。この感染の大部分はマカオで発生しており、850台のデバイスが侵害されているという。

フランスのサイバーセキュリティ企業 Sekoia は、5月22日 (木) に公開した分析の中で、「この感染チェーンには、NetGhost と呼ばれるシェル・スクリプトの実行が関与している。このスクリプトは、侵害したルーターの特定のポートからの受信トラフィックを、攻撃者が管理するハニーポット・ライクなインフラへとリダイレクトすることで、ネットワーク・フローの傍受を可能にする」と述べている。

注目すべきは、PolarEdge と呼ばれる別のボットネットが、脆弱性 CVE-2023-20118 を悪用していると、以前に Sekoia が指摘していたことだ。

現時点において、上記の２つの活動が関連しているという証拠はないが、ViciousTrap を背後で操る脅威アクターは、Araknis Networks／ASUS／D-Link／Linksys／QNAP といった、50以上のブランドの SOHO Router／SSL VPN／DVR／BMC Controler などの、インターネットに接続される広範なデバイスに侵入し、ハニーポット・インフラを構築している可能性が高いと考えられている。

Sekoia は、「このハニーポット・ライクな設定により、複数の環境でのエクスプロイト試行を観察する脅威アクターは、未公開／ゼロデイのエクスプロイトを収集し、他の脅威アクターが取得したアクセスの再利用の可能性も得る」と付け加えている。

この攻撃チェーンを構成する要素は、脆弱性 CVE-2023-20118 の武器化と、ftpget 経由での bash スクリプトのダウンロード／実行である。その後の、このスクリプトの実行により、外部サーバへの接続と、wget バイナリの取得が達成される。次のステップでは、Cisco の脆弱性が再び悪用され、以前にドロップされた wget を介して取得する、２つ目のスクリプトが実行される。

内部的に見ると、NetGhost と呼ばれる第２段階のシェル・スクリプトは、侵害したシステムからのネットワーク・トラフィックを、攻撃者が管理するサードパーティのインフラへとリダイレクトするように設定され、中間者攻撃 (AitM) を容易にしている。また、フォレンジック調査の痕跡を最小限に抑えるために、侵害したホストから自身を削除するという機能も備えている。

Sekoia によると、すべてのエクスプロイト試行は、単一の IP アドレス “101.99.91[.]151” から発信されており、最初の活動は 2025年3月に遡るという。それから１か月後に確認された注目すべき事例では、以前の PolarEdge ボットネット攻撃で使用された未公開の Web シェルが、ViciousTrap の攻撃で再利用されたとしている。

セキュリティ研究者である Felix Aime と Jeremy Scion は、「NetGhost を使用する攻撃者という、仮説が成り立つ。このリダイレクト・メカニズムは、攻撃者を静かな傍観者のような立場に置き、エクスプロイト試行に対する観察と、場合によっては、転送中の Web シェル・アクセスを収集する機会を提供する」と述べている。

2025年5月にも、ASUS ルーターを標的とするエクスプロイト試行が観察されたが、その攻撃は別の IPアドレス “101.99.91[.]239” から発信されていた。ただし、この脅威アクターが、感染させたデバイス上にハニーポットを作成したかどうかは、現時点では確認されていない。このキャンペーンで使用された IP アドレスは、すべてがマレーシアにあり、ホスティング・プロバイダ Shinjiru が運営する、自律システム “AS45839” の一部であるという。

GobRAT インフラとの微細な重複と、台湾と米国の多数の資産へとトラフィックがリダイレクトされているという事実に基づき、中国語圏の攻撃者によるものだと考えられている。

Sekoia は、「ViciousTrap の最終的な目的は、ハニーポット型のネットワークの構築だと、高い確度で評価しているが、実態は依然として不明である」と結論付けている。

Cisco Small Business ルーターの脆弱性 CVE-2023-20118 が攻撃に悪用されているとのことです。防御側がハニーポットを使うなら、攻撃側もハニーポットと使うという、言われてみれば当たり前のことが起こっていたようです。なお、Cisco のアドバイザリによると、対象の製品は EoL のためソフトウェア・アップデートを提供していないとのことです。ご利用のチームは、十分にご注意ください。よろしければ、以下の関連記事も、Cisco で検索と併せて、ご参照ください。

2025/03/03：Cisco の CVE-2023-20118：CISA KEV に登録
2025/02/25：Cisco の脆弱性 CVE-2023-20118 の悪用を観測