Last Updated on 2024-06-26 12:23 by 門倉 朋宏
Google傘下のMandiantは、Ivanti Connect Secure VPNおよびPolicy Secureデバイスを対象とした攻撃活動の後処理中に、中国との関連があるスパイ活動を行う脅威アクターUNC5221および他の脅威グループによって使用された新しいマルウェアを特定しました。このマルウェアには、BUSHWALK、CHAINLINE、FRAMESTING、およびLIGHTWIREのバリアントなどのカスタムWebシェルが含まれます。CHAINLINEは、任意のコマンド実行を可能にするIvanti Connect Secure Pythonパッケージに埋め込まれたPython Webシェルバックドアで、UNC5221に帰属されています。また、JavaScriptベースのクレデンシャルスティーラーであるWARPWIREの複数の新バージョンも検出されました。感染チェーンは、認証されていない脅威アクターがIvantiアプライアンス上で特権を持って任意のコマンドを実行できるようにするCVE-2023-46805およびCVE-2024-21887の成功した悪用を含みます。これらの欠陥は2023年12月初旬からゼロデイとして悪用されています。ドイツの連邦情報セキュリティ庁(BSI)は、同国内で「複数のシステムが侵害された」ことを認識しています。
Ivantiは、CVE-2024-21888およびCVE-2024-21893という2つのセキュリティ欠陥をさらに公表し、後者は「限られた数の顧客」を対象としたアクティブな悪用の下にあります。同社はまた、これら4つの脆弱性に対処するための最初の修正ラウンドをリリースしました。UNC5221は、中国に戦略的な関心を持つ幅広い業界を標的としており、そのインフラとツールは、中国に拠点を置くスパイ活動アクターに関連する過去の侵入と重なっています。Mandiantによると、インシデント対応調査で特定されたLinuxベースのツールは、複数の中国語のGithubリポジトリからのコードを使用しています。UNC5221は、主にPRC(人民共和国)と関連があると疑われるアクターによるエッジインフラのゼロデイ悪用に関連するTTP(戦術、技術、および手順)を広く活用しています。
さらに、攻撃はImpacket、CrackMapExec、iodine、Enum4linuxなどのオープンソースユーティリティの使用を特徴とし、Ivanti CSアプライアンス上でのネットワーク偵察、横方向の移動、および被害者環境内でのデータ流出を支援しています。
【ニュース解説】
Google傘下のセキュリティ企業Mandiantが、Ivanti Connect Secure VPNおよびPolicy Secureデバイスを狙った攻撃活動の中で、中国との関連があるとされるスパイ活動グループUNC5221を含む複数の脅威アクターによって使用されている新しいマルウェアを特定しました。このマルウェアには、BUSHWALK、CHAINLINE、FRAMESTING、LIGHTWIREのバリアントなど、様々なカスタムWebシェルが含まれています。これらの攻撃は、Ivanti製品に存在する脆弱性を悪用して実行されており、ドイツの連邦情報セキュリティ庁(BSI)も複数のシステムが侵害されたことを認識しています。
この攻撃キャンペーンの背景には、高度な技術と戦術を駆使する脅威アクターが存在し、特に中国に戦略的な関心を持つ幅広い業界が標的にされています。攻撃者は、Ivantiのセキュリティ対策を回避し、高度な権限を持つコマンドを実行するために、複数のゼロデイ脆弱性を悪用しています。これにより、攻撃者は被害者のシステムに深く侵入し、機密情報を盗み出すことが可能になります。
このような攻撃は、企業や組織にとって重大なセキュリティリスクをもたらします。特に、VPNデバイスやポリシーセキュアデバイスは、リモートアクセスやネットワークのセキュリティを担う重要な役割を持っているため、これらのデバイスが侵害されることは、組織全体のセキュリティ体制に深刻な影響を及ぼす可能性があります。また、攻撃者がネットワーク内で横方向に移動し、さらに多くのシステムやデータにアクセスすることも可能になります。
この事態に対処するためには、Ivantiや他のセキュリティベンダーから提供されるパッチやアップデートを迅速に適用し、システムの脆弱性を修正することが重要です。さらに、組織は定期的なセキュリティ監査や侵入テストを実施し、未知の脅威に対する防御体制を強化する必要があります。また、従業員へのセキュリティ意識の向上や、異常なネットワーク活動の監視など、組織全体でのセキュリティ対策の徹底も求められます。
長期的には、このような高度なサイバー攻撃に対抗するためには、国際的な協力や情報共有の強化が不可欠です。攻撃者は国境を越えて活動しており、一国だけで対処することは困難です。国際社会が一丸となってサイバーセキュリティの取り組みを強化し、共通の脅威に対して効果的に対応することが、今後のサイバーセキュリティ環境を守る鍵となるでしょう。
from Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities.
