VPNFilterはインテリジェンスの収集と破壊的なサイバー攻撃をともに可能にする能力を持つボットネットです。Cisco Talosのチームは最近、Cyber Threat Alliance(CTA)のメンバーに調査結果を報告、ブログでも知らせています。
このマルウェアはネットワーク機器をターゲットにしているとみられますが、最初の感染経路はわかっていません。この攻撃を最初に報告したTalosによると、この数年で少なくても50万台のネットワーク機器に感染していると伝えています。このマルウェアは感染したデバイスにとどまり、ウェブサイトの認証情報を盗み、Modbus SCADAプロトコルを監視することができます。また、ファイル収集、コマンド実行、データ抽出、デバイス管理を行い、さらに、感染したデバイスの一部や全部を使用不能の状態にしてしまう機能を持っています。
VPNFilterに感染が確認されているデバイスは、ネットワークアタッチドストレージ(NAS)デバイスのLinksys、 MikroTik、Netgearや、SOHO向けのネットワークデバイスTP-Link やQNAPなどです。
マルウェア感染のステージ
VPNFilterの感染には3つのステージがあります。
ステージ1では、システム内に完全に侵入、複数のコントロールメカニズムを使用してステージ2に向けてサーバーを検出し接続します。
ステージ2では、ファイル収集、コマンド実行、データ抽出、デバイスマネジメントに集中します。いくつかのバージョンは使用不能にするための自己破壊能力があります。
ステージ3では、次の2つのモジュールの存在が確認されています。
・ウェブサイトの認証情報を盗み、Modbus SCADAを監視するためのトラフィックスニッファー
・匿名のアドレスを持つTor通信
IOCs とサンプルハッシュ
URLs and IPs
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
91.200.13[.]76
91.214.203[.]144
6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
6b57dcnonk2edf5a[.]onion/bin32/update.php
・ステージ1
・50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
・0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
・ステージ2 マルウェア
・9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
・d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
・4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
・9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
・37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
・776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
・8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
・0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
・ステージ3 マルウェア
・f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
・afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719
対応範囲
上述のIOCsについては以下のようにカバーされています。
・ファイル名の検出: Linux/VPNFilter and Linux/VPNFilter.a
・V3 DAT with coverage version: 3353
・V2 DAT with coverage version: 8902
・すべてのサンプルはマルウェアとしてGTIに分類
・すべての関連URLをGTIに分類
Talos脅威調査チームは以下の点を推奨しています。
・潜在的破壊力のあるステージ2とステージ3の非持続的マルウェアを排除するため、SOHOルーターとNASデバイスを再起動する
・メーカーと協力してデバイスが最新のパッチに確実にアップデートし、アップデートされたパッチを速やかに適用する
ISPは顧客とも協力し、デバイスに確実に最新のファームウェアがあたっているようにする必要があります。