サイバーニュース.jp

世界のサイバーなニュースを配信

Google、マルウェア利用の住宅用プロキシネットワーク「IPIDEA」を摘発

カテゴリ:

概要:GoogleがIPIDEAを無力化

Google脅威インテリジェンスグループ(GTIG)は、業界パートナーと協力し、脅威アクターに広く利用されていた大規模な住宅用プロキシネットワーク「IPIDEA」の活動を停止させました。この作戦には、IPIDEAのサービスに関連するドメイン、感染デバイスの管理、およびプロキシトラフィックのルーティングインフラの停止が含まれます。さらに、プロキシツールを配布していたIPIDEAのSDKに関する情報も共有されました。

IPIDEAは、「オンライン通信を暗号化し、実際のIPアドレスを隠す」VPNサービスとして宣伝され、全世界で670万人のユーザーが利用していると謳っていました。しかし実際には、住宅用プロキシネットワークとして機能し、ユーザーの同意なしにデバイスを悪用していました。

住宅用プロキシネットワークの脅威と悪用

住宅用プロキシネットワークは、家庭用ユーザーや中小企業のIPアドレスを悪用してトラフィックをルーティングします。これは通常、正規のユーティリティを装ったトロイの木馬化されたアプリやソフトウェアを介してデバイスが侵害されることで行われます。

Googleは、脅威アクターが住宅用プロキシをアカウント乗っ取り、偽アカウント作成、認証情報窃取、機密情報の持ち出しなど、様々な悪意ある活動に利用していると説明しています。これらのネットワークを介してトラフィックをルーティングすることで、攻撃者は悪意ある活動を隠蔽し、ネットワーク防御者による検出とブロックを困難にしています。

IPIDEAの広範な悪用実態

GTIGの観測によると、IPIDEAの出口ノードは1週間で550を超える異なる脅威グループによって利用されていました。これには中国、イラン、ロシア、北朝鮮のアクターが含まれます。

確認された活動には以下が含まれます:

  • 被害者のSaaSプラットフォームへのアクセス
  • パスワードスプレー攻撃
  • ボットネット制御
  • インフラの難読化

過去には、Cisco TalosがIPIDEAをVPNおよびSSHサービスを標的とした大規模なブルートフォース攻撃と関連付けていました。また、IPIDEAのインフラは、AisuruやKimwolfなどの記録的なDDoSボットネットも支援していました。

感染経路と関連ブランド

IPIDEAは、少なくとも600種類のトロイの木馬化されたAndroidアプリ(Packet SDK、Castar SDK、Hex SDK、Earn SDKなど)と、3,000を超えるトロイの木馬化されたWindowsバイナリ(OneDriveSyncやWindows Updateを装うもの)を使用してデバイスをネットワークに組み込んでいました。これらのアプリは、ユーザーに知られることなくデバイスをプロキシ出口ノードに変えていました。

IPIDEAの運営者は、合法的なサービスを装った少なくとも19の住宅用プロキシビジネスを展開し、BadBox 2.0マルウェアに感染したデバイスへのアクセスを販売していました。関連するブランドの一部は以下の通りです:

  • 360 Proxy (360proxy.com)
  • 922 Proxy (922proxy.com)
  • ABC Proxy (abcproxy.com)
  • Cherry Proxy (cherryproxy.com)
  • Door VPN (doorvpn.com)
  • Galleon VPN (galleonvpn.com)
  • IP 2 World (ip2world.com)
  • Ipidea (ipidea.io)
  • Luna Proxy (lunaproxy.com)
  • PIA S5 Proxy (piaproxy.com)
  • PY Proxy (pyproxy.com)
  • Radish VPN (radishvpn.com)
  • Tab Proxy (tabproxy.com)
  • Aman VPN (現在は活動停止)

これらの多数のブランドが存在するにもかかわらず、全てのサービスはIPIDEAの運営者によって一元的に制御される中央集権型インフラに接続されていました。

Googleの対策とユーザーへの注意喚起

Google Playプロテクトは現在、IPIDEA関連SDKを含むアプリケーションを、最新の認定Androidデバイス上で自動的に検出・ブロックしています。

Googleの研究者らは、IPIDEAの運営は二層構造のコマンド&コントロール(C2)システムで構成されていたと説明しています。第一層は設定とタイミング、そして第二層へのノードリストを提供し、第二層は約7,400台のサーバーで構成され、プロキシタスクの割り当てとトラフィックの中継を行っていました。また、これらのネットワークの運営者は、無料のVPNサービスも提供しており、そのアプリは宣伝された機能を提供する一方で、デバイスをIPIDEAネットワークの出口ノードとして追加していました。

GTIGとパートナーによる今回の行動はIPIDEAの運営に大きな影響を与えたと考えられますが、脅威アクターがインフラを再構築しようと試みる可能性はあります。現時点では逮捕者や起訴は発表されていません。ユーザーは、帯域幅と引き換えに金銭を提供するアプリや、信頼できない発行元からの無料VPNおよびプロキシアプリに対して引き続き警戒を怠らないよう注意が必要です。

元記事: https://www.bleepingcomputer.com/news/security/google-disrupts-ipidea-residential-proxy-networks-fueled-by-malware/

投稿をさらに読み込む