NICTER プロジェクトのダークネット観測網における 2025 年第 1 四半期(1月~3月)の観測結果を公開します.
今四半期の主な観測結果は以下の通りです.
・今四半期の観測パケット数は前四半期からやや減少
・ASUS 製 WiFi ルータの IoT マルウェア感染拡大を観測
・62 の組織から調査スキャンを観測(新規 3 組織を含む),調査スキャンは全体の約 48.7 %
・23/TCP(telnet), 8728/TCP(MikroTik RouterOS WinBox API)宛てのスキャンパケットが多い状況が継続
以下,詳細についてデータと共に説明します.
[Read More]毎年フランスで開催されているボットネットとマルウェアに関する国際コンファレンスbotconf 1が、今年はパリからTGVで2時間ほどかかるアンジェにおいて5月に開催されました。NICTのCSRI解析チームが発表した「Unveiling the DVR Ecosystem A 3-Year Investigation into Global IoT Bot Recruitment Campaigns 」の内容の一部と、RapperBotの最新の動向について紹介します。
[Read More]ASUS製WiFiルーターに搭載されている「AiCloud」には、USB接続の記憶装置をNASとして利用する機能などが含まれています。このAiCloudにはOSコマンド実行の脆弱性(CVE-2024-12912)など複数の脆弱性が確認されており、認証なしで遠隔からルーターの設定を改変されたり、マルウェアに感染させられるおそれがあります。
[Read More]NICTER プロジェクトのダークネット観測網における 2024 年第 4 四半期(10月~12月)の観測結果を公開します.
表 1 に総観測パケット数の統計値を示します1.
[Read More]AsyncRATの解析結果については前回「AsyncRATの解析結果」1にまとめました。 本ブログでは、実際にAsyncRATをWindows端末上で実行し得られた攻撃者の活動を観測・分析した結果を紹介します。
[Read More]NICTER プロジェクトのダークネット観測網における 2024 年第 3 四半期(7月~9月)の観測結果を公開します.
2024 年第 3 四半期の観測統計
2024 年第 3 四半期に観測した事象について
[Read More]NICTER プロジェクトのダークネット観測網における 2024 年第 2 四半期(4月~6月)の観測結果を公開します.
表 1 に総観測パケット数の統計値を示します1.
[Read More]本記事では,2024 年の上半期(1 〜 6 月)に NICTER で観測された IoT ボットに感染したホストについて,日本国内および韓国の状況を紹介します. なお,2023 年 10 月以降,InfectedSlurs ボットによる Mirai の亜種が活動を活発化させています.この亜種はスキャンパケットに Mirai の特徴を持たないものの依然として脅威となっています.本稿では,分析の便宜上,以下の3種類のホストに分けて取り上げます.
[Read More]AsyncRATは、リモートアクセス型のトロイの木馬(Remote access trojan, RAT)であり、2019年にGitHub1でソースコードが公開された以降、その汎用性の高さから現在もばらまき型のRATの1つとして世界中で猛威を振るっています。 ANY RUN2のマルウェアトレンドトラッカーにおいて、本ブログの執筆時点(2024/06/26)で月間3位であることからもその勢いが分かります。
本ブログではAsyncRATの基本的な機能を解説するとともに、2024年5月7日から6月3日までの約1ヶ月間に収集した複数のAsyncRATの亜種を調査し、追加されている機能や展開方法をまとめます。
[Read More]NICTでは、日本国内のNVR/DVRなどのIoT機器を標的として感染活動を行い、DDoS攻撃を実施するRapperBotと思われるボットネットの攻撃キャンペーンを観測しました。 RapperBotは、Miraiと呼ばれるIoTマルウェアの亜種であり、Miraiのソースコードを改良して開発されている形跡がサンプルに見られます。感染活動の目的は主にDoS攻撃ですが、過去にはクリプトジャッキングを新たに取り入れた活動も観測されています。今回観測したキャンペーンの中で、特定のホストに対するDoS攻撃を観測することに成功しました。
[Read More]