Infobloxは1月14日(米国時間)、「How A Large-Scale Russian Botnet Operation Stays Under the Radar」において、メールの送信元ドメインを偽装したマルウェア配布キャンペーンを発見したと伝えた。

同様のサイバー攻撃キャンペーンは数多確認されているが、今回のキャンペーンではSPF(Sender Policy Framework)の設定に誤りのあるドメインを悪用し、セキュリティソリューションの回避を試みたという。キャンペーンの調査の過程で、侵害されたMikrotik製ルータの存在も多く確認されている。

  • How A Large-Scale Russian Botnet Operation Stays Under the Radar

    How A Large-Scale Russian Botnet Operation Stays Under the Radar

マルウェア配布キャンペーンの概要

2024年11月下旬、Infobloxは大手ロジスティクス企業に偽装した悪意のあるメールを発見した。このメールには貨物の請求に関する記載があり、ZIPファイルの添付があったという。

ZIPファイルには難読化されたJavaScriptが含まれており、開くと最終的にトロイの木馬に感染する。Infobloxの調査によると、このマルウェア配布時に使用されたコマンド&コントロール(C2: Command and Control)サーバのIPアドレスが、過去ロシアによるサイバー攻撃に使用されたものと一致するとのことだ。

発見された大量の悪意のあるメールを分析した結果、膨大な数のドメインとメール送信サーバのIPアドレスが確認された。また、それらIPアドレスの調査により、侵害された約13,000台のMikroTik製ルータが発見された。

  • 本キャンペーンにおける侵害経路 - 引用:Infoblox

    本キャンペーンにおける侵害経路 引用:Infoblox

セキュリティソリューションの回避

このキャンペーンではSPF設定に誤りのあるドメインを悪用する。SPFはメール送信サーバのドメイン詐称を防止する仕組みで、DNSサーバに登録されたSPF RRまたはTXTレコードを使用してメール送信サーバの正当性を検証する。

正しく設定されている場合、攻撃者がドメインを詐称してメールを送信しても、速やかに検出することができる(参考:「(TXT) RFC4408 Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1」)。

悪用されたSPF設定の例は次のとおり。

  • v=spf1 a:ホスト名 +all

最後の「+all」に誤りがある。この場合、すべてのサーバが送信元組織の正当なメール送信サーバとなる。つまり、世界中どのサーバからメールを送信しても、その組織の正当なサーバから送信されたメールと認識することになる。

通常、「all」には「+」以外を指定することになるが、悪用されたドメインはこの設定を誤ったか、または改ざんされたものと推測されている。なお、Infobloxは悪用された約20,000件のドメインを特定している。

対策

同様の攻撃を回避するため、メール送信サーバの管理者には定期的なSPF設定の確認が推奨されている。また、このキャンペーンの調査では多くのMikrotik製ルータの侵害が確認されており、同デバイスを運用している管理者には、侵害の有無を調査して必要な対策を実施することが望まれている。