サイバーニュース.jp

世界のサイバーなニュースを配信

ハッカーが携帯ルーターAPIを悪用し、悪意のあるSMSで武器化されたリンクを送信

カテゴリ:

, , , , , , , , ,

概要:携帯ルーターAPIの悪用によるスミッシング攻撃

Sekoia.ioの脅威検出・研究(TDR)チームは、ハニーポットを用いた監視活動中に、携帯ルーターのAPIが悪用され、悪意のあるSMSメッセージ(スミッシング)を通じてフィッシングURLが送信されていることを発見しました。この攻撃は、特にベルギーを標的としており、CSAMやeBoxといった公式サービスを装い、+32の国番号を利用していました。

Milesight Industrial Cellular Routerのハニーポットのログからは、SMSメッセージ送信のためにJSONペイロードを含む/cgiエンドポイントへのPOSTリクエストが確認されました。これらの痕跡は2025年6月下旬に始まり、特定のIPアドレス(212.162.155[.]38)からのみ発信されていました。抽出されたメッセージはオランダ語またはフランス語で書かれ、ベルギーの電話番号を標的とし、公式ベルギーサービスのタイポスクワッティングドメインを使用していました。デバイスのバックドアやその他の悪用は確認されず、SMSベースのフィッシングのみを目的とした作戦であることが示唆されています。

脆弱性の詳細

ログには有効な認証クッキーの使用が示されていましたが、CVE-2023-43261の悪用方法でパスワードを復号化することはできませんでした。しかし、多くのルーターがSMS機能への認証なしアクセスを許可していることが判明しました。これにより、攻撃者は認証なしで受信トレイ/送信トレイのデータを取得したり、メッセージを送信したりすることが可能になります。

query_outboxquery_inboxのようなパラメータを使用した/cgiへの認証なしPOSTリクエストは、タイムスタンプ、メッセージ内容、受信者番号、ステータスインジケータ(成功または失敗)を含むJSONオブジェクトを生成します。「失敗」ステータスが大量に発生していることから、攻撃者は大規模なキャンペーンを開始する前に、まず自身が管理する電話番号に対してルーターをテストしていることが示唆されており、これは検出に役立つ運用上の特徴となり得ます。

脆弱な資産の範囲

Shodanの検索により、19,000台以上のMilesight Industrial Cellular Routerが公開インターネットに露出していることが判明しました。その約半数はオーストラリアに位置し、フランスとトルコも多くを占めています。チェックされた6,643台のデバイスのうち、572台が認証なしAPIアクセスを許可しており、その多くは古いファームウェア(32.2.x.x、32.3.x.x)で動作していました。ヨーロッパは脆弱なルーターのほぼ半分を占めており、ヨーロッパの電話番号への信頼性の高いSMS配信を容易にし、この地域が不釣り合いに標的とされている理由を説明しています。

スミッシングキャンペーンの事例

この脆弱性を悪用したスミッシングキャンペーンは、2022年2月まで遡ります。収集されたSMSサンプルをキャンペーンごとに分類すると、スウェーデンで42,044件、イタリアで31,353件の同時大量メッセージングが確認されました。一方、ベルギーとフランスの標的は、繰り返し異なるキャンペーンに直面していました。

  • ベルギーのメッセージ:CSAMとeBoxを装い、悪意のあるリンクを介して即座の注意を要する偽の通知を提供していました。
  • フランスのキャンペーン:Ameli、La Poste、GLS、Crédit Agricoleなどのサービスを模倣し、健康保険証の更新から銀行のセキュリティ警告まで、さまざまな口実を使用していました。

フィッシングインフラ

攻撃者のインフラは、NameSiloを通じて登録され、Podaon SIAによってホストされているドメインに依存しています。ベルギーを標的としたキャンペーンでは、csam.ebox-login[.]xyzebox.csam-trust[.]xyzのようなドメインがPodaonのIPアドレスに解決され、現在も活動しています。フィッシングページは、デスクトップサンドボックスを回避するために、JavaScriptの「detect_device.js」を介してモバイル環境をチェックします。

より広範なキャンペーンでは、ロシアのAS211860配下のjnsi[.]xyzドメインクラスターが使用され、NetflixからTeliaまでさまざまなサービスを装っていました。これらのキャンペーンでは、分析を妨げる難読化されたスクリプト(GroozaV2)が使用されていました。このキャンペーンは、脆弱な携帯ルーターというシンプルでアクセスしやすいインフラが、いかに大規模で効果的なスミッシング作戦に武器化され得るかを浮き彫りにしています。

結論と推奨事項

SMS配信を複数の国に分散させることで、攻撃者は検出を回避し、利益性の高いフィッシングキャンペーンを維持しています。継続的な警戒が不可欠です。ユーザーは、特に短縮URL、緊急の言葉遣い、文法上の誤りを含む不審なメッセージを注意深く精査する必要があります。意識と懐疑心が、進化するスミッシングの脅威に対する最初の防衛線となります。

元記事: https://gbhackers.com/cellular-router-api-malicious-sms/

投稿をさらに読み込む