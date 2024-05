Lumen Technologiesはこのほど、「Eight Arms to Hold You: The Cuttlefish Malware - Lumen」において、小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けネットワーク機器を標的とするマルウェア「Cuttlefish」の詳細な分析結果を伝えた。Cuttlefishの存在は2023年7月から確認されており、2023年10月から2024年4月まで実施された最新のサイバー攻撃のnキャンペーンにおいても確認されたとしている。

Eight Arms to Hold You: The Cuttlefish Malware - Lumen○マルウェア「Cuttlefish」の概要Lumen Technologiesによると、このマルウェアの感染経路は確認できていないという。しかしながら、一連の攻撃においてホストデータを収集してコマンド&コントロール(C2: Command and Control)サーバに送信するbashスクリプトが展開されており、このbashスクリプトからマルウェア「Cuttlefish」をダウンロードおよび実行することを確認したとのことだ。Cuttlefishは、デバイスを通過するすべてのトラフィックを監視する機能を持ち、特定のアクティビティを検出した場合に活動を開始するとされる。この活動条件はC2サーバから送信される構成ファイルで指定される。Lumen Technologiesが確認した構成ファイルでは、プライベートIPアドレス宛のトラフィックをハイジャックし、特定の条件を満たしたパプリックIPアドレス宛てのトラフィックの認証情報を窃取するという。ハイジャックと認証情報窃取の動作概念図 引用:Lumenまた、このマルウェアにはオープンソースの仮想プライベートネットワーク(VPN: Virtual Private Network)ソフトウェア「GitHub - ntop/n2n: Peer-to-peer VPN」を実装するモジュールが存在することが確認されている。Lumen Technologiesはこのモジュールを使用することで、ネットワークセキュリティを回避する可能性があると指摘している。○マルウェアが及ぼす影響と対策Lumen Technologiesによると、被害者の約99%はトルコおよびトルコのインフラに依存する組織だという。米国のデータセンターに関連付けられたIPアドレスも被害に遭ったとみられているが、データセンター自体が侵害されたのか、データセンターを利用しているユーザー環境が侵害されたのかはわかっていない。Lumen Technologiesはこの攻撃を回避するため、次のような対策の実施を推奨している。位置情報(geofencing)や自律システム番号(ASN: Autonomous System number)によるブロックをバイパスする家庭向けIPアドレスを使用した接続においても、脆弱な認証情報や不審なログイン試行を検出するTLS(Transport Layer Security)を使用してネットワークトラフィックを暗号化し、トラフィックの盗聴による認証情報の窃取を防止する一時ディレクトリ(/tmp)にバイナリファイルや不正なiptablesエントリーなど、異常なファイルがないかどうかを検査するメモリーに展開されるマルウェアを削除するために、定期的にネットワークデバイスの電源を入れ直すクラウドなどに保管された価値のある機密情報へのリモート接続に証明書のピン留めを実装するネットワークデバイスのソフトウェアを最新の状態に維持するネットワークデバイスのデフォルトパスワードを使用していないかどうかを確認し、使用している場合は一意で強力なパスワードに変更するインターネットからネットワークデバイスの管理インタフェースにアクセスできないことを確認するデバイスがサポート終了(EOL: End-of-Life)となった場合は速やかに新しい機器へ交換するまた、Lumen Technologiesは今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/Cuttlefish_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。