AryStinger と呼ばれるこれまで文書化されていないマルウェア ボットネットにより、4,000 台を超えるレガシー ルーターが侵害され、それらが悪意のあるトラフィックのプロキシになってしまいました。
Qianxin の XLab 脅威インテリジェンス チームの研究者らによると、このマルウェアは、感染したデバイスを、攻撃者に代わってスキャン、プロキシ、トンネリング、コマンド実行などのアクティビティを実行できる、リモートで制御される「実行者」に変えるという。
Xlabの研究者らは、「攻撃者は巨大なスキャンタスクを複数の小さなチャンクに分割し、それらを異なる実行プログラムに分散して並列実行する可能性がある」と述べている。
「この分散型の設計により、攻撃者は最初の「フットプリント」アクティビティを効率的に完了でき、その後の侵入操作のスムーズさと成功率を強力に保証します。」
XLabは、侵害されたルーターを悪意のある操作の踏み台として使用することに加えて、このマルウェアはDNS設定を改ざんし、ユーザーのブラウジングをハイジャックし、すべての送受信ネットワークトラフィックをサイレントに監視して盗む可能性があると警告しています。
出典: Xlab
AryStinger は、CVE-2013-3307、CVE-2016-5681、CVE-2025-11837 などの古い脆弱性を悪用し、主に D-Link DIR-850L、D-Link DIR-818LW ルーターをターゲットにします。
この 2 つのルーター モデルは、以前、AVrecon マルウェア ボットネットの標的となっており、2023 年に Lumen 通信サービス プロバイダーである Lumen によって妨害されました。
Qianxin の遠隔測定データによると、全感染者のほぼ半数が韓国 (48.5%) で発生しており、次いで中国 (31.8%)、スウェーデン (6.4%)、マレーシア (3.5%)、シンガポール (2.5%) となっています。
XLab の研究者は、Aristinger マルウェアの 2 つの亜種を発見しました。1 つは主に古いルーターをターゲットとする C ベースのバージョン、もう 1 つは NAS システムに焦点を当てているが、現時点では範囲がはるかに限定されている Go ベースのバージョンです。
出典: Xlab
NAS バージョンは 2 つのうちより高度なもので、IP および DNS スキャン、コマンド実行、ペイロード実行、オープンソース侵入テスト ツールの統合による内部ネットワーク偵察などの追加機能が追加されています。
研究者らは、Arystinger の分散 DNS スキャン インフラストラクチャがリゾルバーに対して再利用され、大量の DNS クエリを生成する可能性があると指摘しましたが、そのような攻撃は観察されていません。
NAS エディションのコード実行機能について、XLab はシェル コマンドに加え、Go、Java、Python のソース コードもサポートしていると述べています。
ただし、コンパイルにはホスト上の言語ランタイムが必要であり、プロセス全体でステルス性を損なう可能性のあるノイズが発生するため、コンパイルされたバイナリの代わりにソース コードを使用することにはいくつかの制限があります。
研究者らは、既知の活動グループがエリスティンガーによるものではないとし、「エリスティンガーをめぐる多くの謎はまだ解明されていない」と述べた。
サポート終了 (EOL) ルーターの所有者は、アクティブにサポートされている新しいモデルに交換し、入手可能な最新のファームウェア アップデートを適用し、デフォルトの管理者アカウントのパスワードを変更し、リモート管理パネルを無効にする必要があります。
セキュリティ チームは成功した攻撃の 54% を記録し、警告を発するのは 14% のみです。残りの人々はあなたの環境内を目に見えず動き回ります。
Pikus ホワイトペーパーでは、侵害と攻撃のシミュレーションで SIEM と EDR ルールをテストし、脅威の検出を防ぐ方法を示しています。
ホワイトペーパーを入手する
Leave a Reply