Esta serie de desbordamiento del informe Tsubame discute las tendencias de monitoreo de los sensores Tsubame en el extranjero y otras actividades que los informes trimestrales de monitoreo de amenazas de Internet no incluyen. Este artículo cubre los resultados de monitoreo para el período de enero a marzo de 2025.
Tendencias del año fiscal 2024 en Japón
En JPCERT/CC, analizamos los datos recopilados de Tsubame a diario. Esta vez, nos gustaría centrarnos en los casos de incidentes relacionados con Japón en función de los resultados de observación del año fiscal 2024. Mencionamos en Internet Amenazas que monitorean los informes trimestrales de que nuestros sensores observaron paquetes dirigidos al puerto 23/TCP más. Algunos de ellos tienen las características del malware de Mirai, y las tendencias en el número de tales paquetes se muestran en la Figura 1. Por ejemplo, alrededor de mayo de 2024, de septiembre a diciembre de 2024, y alrededor de marzo de 2025, los paquetes dirigidos a puerto 23/TCP con características de Mirai representaron más del 50% del total, mientras que durante otros períodos, los paquetes dirigidos a una amplia variedad de dispositivos IOT sin se observaron características de Mirai.
Figura 1: Tendencias en el número de direcciones IP de origen que envían paquetes con características de Mirai desde Japón hasta el puerto 23/TCP
En el proyecto Tsubame, cuando se observan escaneos sospechosos, intentamos recopilar información e identificar los dispositivos (específicamente para direcciones IP en Japón) mediante el uso de respuestas web, shodan y otras herramientas, con el propósito de informar incidentes y compartir información. Durante los tres períodos notables mencionados anteriormente, se identificaron particularmente los siguientes tipos de dispositivos:
Alrededor de mayo de 2024: enrutadores de proveedores en el extranjero como TP-Link
Alrededor de septiembre a diciembre de 2024: cámaras de seguridad, DVR y dispositivos NAS de proveedores extranjeros
Alrededor de febrero a marzo de 2025: enrutadores de proveedores extranjeros como Asus
Hemos observado que las mismas direcciones IP utilizadas para enviar paquetes con características de Mirai al puerto 23/TCP también se usaron para los intentos de comunicarse con otros puertos. Se considera que los atacantes realizan escaneos que reconocen los puertos accesibles de Internet y la información de vulnerabilidad sobre los productos objetivo. Además, también se observaron paquetes reflejados de los servidores web de varias compañías. Dado que estos se consideran parte de los ataques DDoS dirigidos a organizaciones, proporcionamos los datos de observación a través de CSIRT y otras rutas comunitarias. Con base en las ideas obtenidas de estas actividades, hemos compartido información sobre tendencias en ataques que usan Mirai y discutimos contramedidas con desarrolladores de productos internos e ISP. Para mitigar el daño por infecciones de Mirai y ataques DDoS, es esencial ser cauteloso cuando se usa enrutadores y dispositivos similares conectados a Internet para evitar la propagación de infecciones y evitar la expansión de botnets. Teniendo en cuenta que los atacantes también pueden acceder a sus dispositivos a través de Internet, asegúrese de instalar el último firmware, aplicar la configuración adecuada y usar los dispositivos con precauciones. Después de la implementación, se recomienda realizar escaneos de puertos para verificar si los puertos innecesarios se hacen inaccesibles. También se recomienda usar herramientas como Shodan. Dado que los ataques dirigidos a productos específicos y fuentes de paquetes sospechosos aparecerán continuamente en el futuro, el Proyecto Tsubame continuará proporcionando datos de observación y otra información a los desarrolladores de productos e ISP para ayudarlos a resolver tales problemas.
Comparación de las tendencias de observación en Japón y en el extranjero
La Figura 2 es una comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero. Los sensores en el extranjero recibieron más paquetes que los de Japón, y en particular, el número de paquetes aumentó tanto en Japón como en el extranjero en marzo.
Figura 2: Comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero
Comparación de tendencias de monitoreo por sensor
Se asigna una dirección IP global a cada sensor TSubame. La Tabla 1 muestra los 10 puertos principales de cada sensor que más recibió paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP, 8080/TCP, 80/TCP, ICMP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.
Tabla 1: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros
Sensor en Japón #1Sensor en Japón #2Sensor en Japón #3Sensor en el extranjero #1Sensor en el extranjero #2Sensor en el extranjero #3
#123/TCP23/TCP23/TCP23/TCP23/TCPICMP
#28728/tcp8728/tcp8728/tcp8728/tcp8728/tcp23/TCP
#3123/UDP80/tcp22/tcp22/tcp80/tcp8728/tcp
#422/tcp22/tcp80/tcp80/tcpICMP22/tcp
#580/tcpICMPICMPICMP443/tcp80/tcp
#6ICMP8080/tcp443/tcp443/tcp22/tcp443/tcp
#78080/tcp443/tcp8080/tcp8080/tcp8080/tcp8080/tcp
#8443/tcp6379/tcp6379/tcp6379/tcp6379/tcp3389/tcp
#96379/tcp81/tcp34567/tcp445/tcp2222/TCP445/tcp
#1034567/tcp123/UDP445/tcp2222/TCP3389/tcp34567/tcp
Para terminar
El monitoreo en múltiples ubicaciones nos permite determinar si ciertos cambios están ocurriendo solo en una red en particular. Aunque no hemos publicado ninguna alerta especial como un tema adicional u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el informe trimestral de monitoreo de amenazas de Internet esté disponible cada trimestre. También publicaremos un problema adicional cuando observemos cualquier cambio inusual. Sus comentarios sobre esta serie son muy apreciados. Utilice el formulario de comentarios a continuación para informarnos qué tema desea que presentemos o discutamos más. Gracias por leer.
Keisuke Shikano
(Traducido por Takumi Nakano)