Last Updated on 2024-04-17 12:01 by admin

中国に関連するとされるサイバースパイグループ、UNC5325とUNC3886がIvanti Connect Secure VPNアプライアンスのセキュリティ脆弱性を悪用している。UNC5325はCVE-2024-21893を悪用し、LITTLELAMB.WOOLTEA、PITSTOP、PITDOG、PITJET、PITHOOKなどの新しいマルウェアを配布し、侵害されたアプライアンスへの永続的なアクセスを維持しているとMandiantが報告した。Mandiantは、UNC5325とUNC3886が関連していると中程度の確信を持っている。これは、LITTLELAMB.WOOLTEAとPITHOOKのソースコードが、UNC3886が使用するマルウェアと重複しているためである。UNC3886は、FortinetとVMwareのソリューションのゼロデイ脆弱性を悪用し、VIRTUALPITA、VIRTUALPIE、THINCRUST、CASTLETAPなどの様々なインプラントを配布していることで知られている。UNC3886は主に、アメリカとアジア太平洋地域に位置する防衛産業基盤、技術、通信組織を標的としている。

CVE-2024-21893の悪用は、2024年1月19日以降に限定されたデバイスを対象に行われている。攻撃チェーンは、CVE-2024-21893と以前に公表されたコマンドインジェクションの脆弱性CVE-2024-21887を組み合わせ、脆弱なアプライアンスへの不正アクセスを可能にし、新しいバージョンのBUSHWALKを配布する。一部のケースでは、SparkGatewayプラグインなどの正当なIvantiコンポーネントの悪用も含まれている。これには、システムアップグレードイベント、パッチ、工場リセットを越えて持続する能力を持つ悪意のある共有オブジェクトLITTLELAMB.WOOLTEAをロードするPITFUELプラグインが含まれる。

Dragosは、中国が支援するVolt Typhoon（別名Voltzite）が、複数のアメリカの電力会社、緊急サービス、通信プロバイダー、防衛産業基盤、衛星サービスに対する偵察と列挙活動を行っていると帰属している。Volt Typhoonの被害者の足跡は、アフリカの電力伝送および配布プロバイダーを含むように拡大しており、この敵対者が2023年初頭にIvanti Connect Secureの脆弱性をゼロデイで悪用したUTA0178と関連している証拠がある。

【編集部追記】— 記事の内容について検証しました —

分かりづらい用語や固有名詞の解説
Ivanti Connect Secure: 企業向けのVPNソリューションを提供するIvanti社の製品
UNC5325, UNC3886: 中国に関連するとされるサイバースパイグループの識別名
CVE-2024-21893, CVE-2024-21887: 脆弱性の識別番号。CVEはCommon Vulnerabilities and Exposuresの略
ゼロデイ脆弱性: ソフトウェアベンダーが把握する前に発見・悪用される脆弱性

参考
Ivanti Connect Secure – リモートアクセス VPN
Ivantiの公式サイトにある製品紹介ページです。Connect Secureの特長や機能について詳しく説明されています。

異なる視点からの解説
この事案は、国家支援のサイバースパイ活動が高度化し、重要インフラや防衛産業を標的としていることを示しています。攻撃者は複数の脆弱性を組み合わせ、正当なコンポーネントを悪用するなど、巧妙な手口で検出を回避しています。組織は多層的なセキュリティ対策と迅速なパッチ適用、異常活動の監視が重要です。また、国際的な情報共有と協力も不可欠でしょう。

読者のみなさまへ
このようなサイバー脅威から身を守るためには、ソフトウェアを最新の状態に保ち、パスワードを定期的に変更するなどの基本的なセキュリティ対策が重要です。また、不審なメールやリンクには注意し、セキュリティ意識を高めることをおすすめします。組織においては、セキュリティポリシーの策定と従業員教育、多層防御の実装が求められます。
引き続き、innovaTopiaではサイバーセキュリティに関する最新情報をお届けしてまいります。ご意見やご質問がございましたら、お気軽にお寄せください。

【ニュース解説】

中国に関連するとされるサイバースパイグループ、UNC5325とUNC3886が、Ivanti Connect Secure VPNアプライアンスのセキュリティ脆弱性を悪用して新しいマルウェアを配布し、侵害されたアプライアンスへの永続的なアクセスを維持していることが報告されました。特に、UNC5325はCVE-2024-21893という脆弱性を利用して、LITTLELAMB.WOOLTEA、PITSTOP、PITDOG、PITJET、PITHOOKなどの新しいマルウェアを配布しています。これらのマルウェアは、システムアップグレードやパッチ適用後も持続する能力を持ち、バックドア機能やファイル管理、コマンド実行などを可能にします。

この攻撃は、2024年1月19日以降に限定されたデバイスを対象に行われており、攻撃者はCVE-2024-21893とCVE-2024-21887という2つの脆弱性を組み合わせて不正アクセスを行い、新しいバージョンのBUSHWALKマルウェアを配布しています。また、正当なIvantiコンポーネントの悪用も報告されており、攻撃者は高度な技術を駆使して検出を回避しています。

一方、Dragosによると、中国が支援するVolt Typhoon（Voltziteとも呼ばれる）は、アメリカの電力会社や緊急サービス、通信プロバイダーなどに対する偵察と列挙活動を行っており、アフリカの電力伝送および配布プロバイダーにもその活動を拡大しています。これらの活動は、将来的に破壊的または混乱を引き起こすサイバー攻撃を行うための脆弱性を特定することを目的としていると考えられます。

これらの報告は、国家支援のサイバースパイ活動がいかに高度化しているかを示しています。攻撃者は、セキュリティシステムの検出を回避しながら、長期にわたる偵察やデータ窃取を目的とした持続的なアクセスを確立するために、ゼロデイ脆弱性やマルウェア、正当なシステムコンポーネントの悪用など、多様な手法を駆使しています。これらの攻撃は、対象となる組織だけでなく、国家の安全保障にとっても深刻な脅威をもたらす可能性があります。

このような脅威に対抗するためには、組織はセキュリティ対策を常に最新の状態に保ち、脆弱性の迅速な特定と修正、異常なネットワーク活動の監視、従業員のセキュリティ意識の向上など、多層的な防御戦略を実施することが重要です。また、国際的な協力と情報共有も、この種の脅威に効果的に対処するために不可欠です。

from Chinese Hackers Exploiting Ivanti VPN Flaws to Deploy New Malware.

admin

自己紹介の全文を表示