ハッカーがロシアのバレットプルーフホスト「Proton66」を悪用し、世界規模で攻撃とマルウェア配信を行う

Security

記事本文(要約)

サイバーセキュリティの研究者が、ロシアのバレットプルーフホスティングサービスプロバイダー「Proton66」に関連するIPアドレスからの「大規模スキャン、資格情報のブルートフォース攻撃、エクスプロイト試行」の急増を報告しました。この活動は、2025年1月8日以降、世界中の組織を標的にしており、Trustwave SpiderLabsが分析を発表しました。

特に「45.135.232.0/24」と「45.140.17.0/24」のネットブロックが活発に攻撃活動を行っており、以前は悪意のある活動に関与していなかったか、長期間非アクティブだったIPも含まれています。Proton66は、他の自律システム「PROSPERO」と関連があると見られており、ロシアのサイバー犯罪フォーラムでバレットプルーフサービスを販売しています。Proton66は、GootLoaderやSpyNoteといったマルウェアのC2サーバーのホスト先としても利用されてきました。

最近のTrustwaveの分析では、Proton66のネットブロックからの悪意のある要求が以下の脆弱性を利用していることが判明しました:

  • – CVE-2025-0108: Palo Alto Networks PAN-OSの認証バイパスの脆弱性
  • – CVE-2024-41713: Mitel MiCollabの不十分な入力検証の脆弱性
  • – CVE-2024-10914: D-Link NASのコマンドインジェクション脆弱性
  • – CVE-2024-55591 & CVE-2025-24472: Fortinet FortiOSの認証バイパス脆弱性
  • これらの脆弱性を悪用する攻撃に関連するマルウェアキャンペーンでは、Proton66を通じてXWorm、StrelaStealer、WeaXorといったマルウェアが配布されています。さらに、Proton66にリンクされたIPアドレスがWordPressサイトを乗っ取り、ユーザーをフィッシングページにリダイレクトする活動も観測されています。 組織は、Proton66や関連企業のIPレンジをブロックし、潜在的な脅威を防ぐことが推奨されています。

※この要約はChatGPTを使用して生成されました。

公開日: Mon, 21 Apr 2025 12:31:00 +0530

Original URL: https://thehackernews.com/2025/04/hackers-abuse-russian-bulletproof-host.html

詳細な技術情報

  • CVE番号と脆弱性の仕組み
    • 1. CVE-2025-0108
      • 脆弱性の概要: Palo Alto NetworksのPAN-OSソフトウェアにおける認証バイパスの脆弱性。この脆弱性を利用すると、攻撃者は不正に認証を回避しアクセスを得ることが可能。
    • 2. *CVE-2024-41713
      • 脆弱性の概要: Mitel MiCollabのNuPoint Unified Messaging (NPM)コンポーネントにおける不十分な入力検証の脆弱性。これにより、不正な入力を受け入れることでシステムが予期しない動作をする可能性がある。
    • 3. CVE-2024-10914
      • 脆弱性の概要: D-Link NASにおけるコマンドインジェクションの脆弱性により、攻撃者が任意のコマンドを実行可能。
    • 4. CVE-2024-55591 & CVE-2025-24472
      • 脆弱性の概要: Fortinet FortiOSにおける認証バイパスの脆弱性。これによって攻撃者は認証なしでアクセスし、さらに攻撃を展開できる。
  • 攻撃手法
    • 大量スキャンとクレデンシャルブルートフォース: IPアドレスブロック「45.135.232.0/24」と「45.140.17.0/24」による広範囲なスキャンとクレデンシャルブルートフォース攻撃が観測されています。
    • 脆弱性の悪用: 各CVE番号に対応する脆弱性を利用し、認証バイパスやコマンドインジェクションを行い、システムへの不正アクセスや制御を図る。
    • マルウェアキャンペーン: Proton66は、XWorm、StrelaStealer、WeaXorなどのマルウェアを配信するためのインフラとして利用されている。
    • フィッシング攻撃: WordPressサイトをハッキングして、Androidユーザーを偽のGoogle Playストアページにリダイレクトし、悪意のあるAPKをダウンロードさせる。
  • 潜在的な影響
    • 機密データの漏洩: 認証バイパスやコマンドインジェクションにより、機密情報の窃取やデータの改ざん、サービスの停止が発生する可能性。
    • 感染拡大: マルウェア感染の拡大により、ネットワーク全体に及ぶ破壊的な被害と復旧作業の長期化。
    • 財務的影響: 身代金要求型マルウェア(ランサムウェア)による直接的な金銭要求や営業停止に伴う間接的な経済損失。
  • 推奨される対策
    • 1. フィルタリングと遮断: Proton66および関連する香港のChang Way Technologiesが管理するIPレンジをCIDRベースで遮断すること。
    • 2. 脆弱性の修正: 各ソフトウェアメーカーのセキュリティパッチを適用し、システムの保護を強化することが重要。
    • 3. ログとモニタリング: ネットワークトラフィックの監視を強化し、不審な活動の早期検出と対応を行う。
    • 4. 教育と啓蒙: 従業員に対してフィッシングメールの認識やセキュリティ意識向上のトレーニングを施す。
    • 5. バックアップ戦略: 定期的なデータバックアップを行い、ランサムウェア攻撃などによるデータ喪失に備える。