VPNFilter最新情報 - 新しい攻撃モジュールの報告

Cisco TalosはCyber Threat Alliance（CTA）の協力を得て、VPNFilterマルウェアの最新情報を公開しました。VPNFilterは5月23日にCisco Talosが発見した多段階の攻撃で、SOHOなどの小規模事業のルーターやNAS（ネットワーク接続ストレージ）デバイスを標的としています。フォーティネットはCTAに参加しているため、同日中にFortiGuard Labsからお客様にアップデートを提供することができました。VPNFilterはデータが流出するだけでなく、デバイスが完全に動作不能になるため、特にリスクの高い攻撃です。VPNFilterは主に、SOHOのルーターやNASデバイスなど、LinuxベースのIoTデバイスを標的にしており、その攻撃はウクライナに集中しています。

6月に公開されたVPNFilterの最新リサーチでは、標的となったデバイスのメーカー一覧に加え、エクスプロイト（ssler）、パケットスニッファ（ps）、デバイス破壊（dstr）の新しいモジュールも報告されています。FortiGuard Labsではこの脅威リサーチの最新情報をこちらで提供しています。この最新情報もCTAを通じてTalosが公開したものですが、VPNFilterマルウェアの新しいモジュールが追加されています。

これらの追加によってモジュールは以下をはじめ、合計10個になります。

• netfilter：一般的な暗号化チャットアプリケーションに対するサービス拒否攻撃
• httpx：HTTPトラフィックをリダイレクトして侵入したネットワーク上の実行可能ファイルから送信するファイルを特定
• nm：ネットワーク上の多様なマシンやデバイスで構成されるローカルエリアネットワークのポートをスキャンし、ファイルに保存してデータ流出に使用
• portforwarding：指定した場所へのネットワークトラフィックのポート転送
• socks5proxy：侵入したデバイスに不正なSOCKS5プロキシを作成
• tcpvpn：侵入したデバイスから攻撃者にTCP/VPN接続し、侵害したデバイスの背後にある内部ネットワークに攻撃者がアクセス

これらのアップデートによって、VPNFilterの攻撃範囲が拡大するだけでなく、新しいデバイスを標的にすることから攻撃の侵入口も大幅に拡大します。侵入したネットワークやネットワークストレージデバイスをさらに悪用すれば、次の攻撃の強力な足場を築くことができます。

また、VPNFilterに感染したデバイスをプロキシとして使用すれば、関連デバイスを攻撃に利用できるだけでなく、これらのデバイスを踏み台にしてプロキシデバイスからの攻撃に見せかけて、攻撃者の身元を隠すことができます。現在、デバイスがどのように感染するかは確認されていませんが、既知の脆弱性の悪用はベクトルの1つにすぎないと推測されています。

Talos独自のテレメトリと世界中のパートナーからの情報を総合的に判断した結果、国際的なパートナー機関（法執行機関、諜報機関、CTA）のインテリジェンスや協力もあり、いまのところこの脅威は沈静化されているとTalosは報告しています。また、マルウェアのコマンドと制御チャネルの大半が緩和されたことも報告されています。ステージ2の攻撃には持続性はなく、その多くは感染したデバイスから駆除されています。この報告によると、オープンなリスナーを利用して、持続的なステージ1の攻撃に感染したデバイスに再接続を試みる兆候も確認されていません。

ソリューション

CTA（サイバー脅威アライアンス）とのパートナーシップにより、FortiGuardにはこの最新情報がいち早く通知されていました。お客様の現在のウイルス保護対策は以下で確認できます。

ELF/VPNFilter.A!tr

FortiGuard SEチームでは、デバイスメーカーにこの脅威に関連するアップデートを確認し、利用可能なファームウェアのアップデートがあればデバイスに適用することを推奨しています。脆弱性が特定されたデバイスの最新アップデートが配信されず、ベンダーからの告知もない場合、リスクアセスメントの実行後にデバイス全体の交換を検討する必要があります。