中国系ハッカーグループ、Ivantiのセキュリティ欠陥を悪用し暗躍

Last Updated on 2024-06-26 12:07 by 門倉 朋宏

複数の中国系ハッカーグループがIvantiのセキュリティ欠陥を悪用していることが特定された。これらのグループは、MandiantによってUNC5221、UNC5266、UNC5291、UNC5325、UNC5330、UNC5337、およびUNC3886として追跡されている。これらの脆弱性（CVE-2023-46805、CVE-2024-21887、CVE-2024-21893）の悪用により、金銭的な動機を持つアクターが暗号通貨マイニング操作を試みていることも観察された。

UNC5266は、Aspera Faspex、Microsoft Exchange、Oracle Web Applications Desktop Integratorなどの脆弱性を悪用して初期アクセスを得る中国系のスパイ活動アクターUNC3569と部分的に重複している。UNC5330は、少なくとも2024年2月以降、CVE-2024-21893とCVE-2024-21887の組み合わせを利用してIvanti Connect Secure VPNアプライアンスを侵害し、TONERJAMおよびPHANTOMNETなどのカスタムマルウェアを使用している。

UNC5337は、2024年1月以降、CVE-2023-46805とCVE-2024を使用してIvantiデバイスに侵入し、SPAWNと呼ばれるカスタムマルウェアツールセットを配布している。Mandiantは、UNC5337とUNC5221が同一の脅威グループであると中程度の確信を持っている。

UNC5291は、主に学術、エネルギー、防衛、および健康セクターを対象としており、別のハッキンググループUNC3236（別名Volt Typhoon）との関連性があるとされる。これらの発見は、エッジアプライアンスが直面している脅威を再び強調しており、スパイ活動アクターはゼロデイの欠陥、オープンソースのツール、およびカスタムバックドアの組み合わせを使用して、標的に応じてその技術をカスタマイズし、長期間にわたって検出を回避している。

【ニュース解説】

複数の中国系ハッカーグループが、セキュリティソフトウェア企業Ivantiの製品に存在するセキュリティの脆弱性を悪用していることが特定されました。これらの脆弱性は、CVE-2023-46805、CVE-2024-21887、CVE-2024-21893として識別されており、Mandiantによって追跡されているグループは、UNC5221、UNC5266、UNC5291、UNC5325、UNC5330、UNC5337、およびUNC3886と名付けられています。これらのグループは、スパイ活動や金銭的な利益を目的として、これらの脆弱性を悪用しています。

特に、UNC5266は他の脆弱性を悪用してきた歴史があり、UNC5330はIvanti Connect Secure VPNアプライアンスを標的にしています。また、UNC5337はSPAWNというカスタムマルウェアツールセットを使用してIvantiデバイスに侵入し、長期間にわたって検出を避けることを目的としています。UNC5291は、特に学術、エネルギー、防衛、健康セクターを標的にしており、別のグループUNC3236との関連性が指摘されています。

これらの攻撃は、エッジアプライアンスが直面している脅威を浮き彫りにしています。攻撃者はゼロデイの脆弱性、オープンソースのツール、カスタムバックドアを組み合わせて使用し、標的に応じて攻撃手法をカスタマイズすることで、長期間にわたって検出を回避しています。

このような攻撃の増加は、企業や組織にとって重大なセキュリティリスクをもたらします。特に、機密情報を扱うセクターでは、外部からの侵入を未然に防ぐためのセキュリティ対策の強化が急務です。また、攻撃手法が日々進化しているため、セキュリティチームは最新の脅威情報を常に把握し、迅速に対応できる体制を整える必要があります。

一方で、このような攻撃の検出と対策の進化は、セキュリティ技術の向上にも寄与します。攻撃手法の分析から得られる知見は、より効果的な防御策の開発に役立ち、長期的にはサイバーセキュリティの全体的なレベル向上に繋がる可能性があります。しかし、攻撃者と防御者の間のこのような「いたちごっこ」は、今後も続くことが予想され、常に警戒を怠らない姿勢が求められます。

from Researchers Identify Multiple China Hacker Groups Exploiting Ivanti Security Flaws.