innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

MITRE対象のサイバー攻撃、ゼロデイ脆弱性を悪用

MITRE対象のサイバー攻撃、ゼロデイ脆弱性を悪用 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-29 09:31 by admin

MITRE Corporationは、2023年12月31日にさかのぼる最初の侵入の証拠を公表し、最近明らかになったサイバー攻撃の詳細を提供した。この攻撃は、MITREのNetworked Experimentation, Research, and Virtualization Environment (NERVE)を標的とし、Ivanti Connect Secureの2つのゼロデイ脆弱性(CVE-2023–46805およびCVE-2024–21887)を利用した。攻撃者は、VMwareインフラストラクチャを介して研究ネットワーク内を移動し、バックドアとウェブシェルの組み合わせを使用して持続性を維持し、認証情報を収集した。

攻撃者は、2023年12月下旬にPerlベースのウェブシェル「ROOTROT」を初期アクセスのために使用し、これはGoogle傘下のMandiantによって、中国系のサイバースパイクラスターUNC5221の作品とされている。このグループは、BUSHWALK、CHAINLINE、FRAMESTING、LIGHTWIREなど他のウェブシェルとも関連している。ROOTROTは、正規のConnect Secure .ttcファイルに埋め込まれ、攻撃者はNERVE環境をプロファイリングし、複数のESXiホストとの通信を確立した。

その後、攻撃者はMITREのVMwareインフラストラクチャを制御し、Golangベースのバックドア「BRICKSTORM」と、以前に文書化されていなかったウェブシェル「BEEFLUSH」を配置した。これらの行動により、攻撃者は任意のコマンドを実行し、コマンドアンドコントロールサーバーと通信するための持続的なアクセスを確立した。さらに、攻撃者はSSH操作や怪しいスクリプトの実行などの技術を利用して、侵害されたシステムを制御した。

2024年1月11日に二つの脆弱性が公に開示された翌日、攻撃者は「WIREFIRE」(別名「GIFTEDVISITOR」)と呼ばれる別のウェブシェルを展開し、秘密裏の通信とデータの抽出を容易にした。2024年1月19日には、BUSHWALKウェブシェルを使用してNERVEネットワークからコマンドアンドコントロールインフラストラクチャへのデータ転送を行い、2月から3月中旬にかけて横断移動を試み、NERVE内での持続性を維持した。

【ニュース解説】

MITRE Corporationが最近経験したサイバー攻撃について、新たな詳細が公開されました。この攻撃は、2023年12月31日に遡る最初の侵入の証拠が見つかったことから、MITREのNetworked Experimentation, Research, and Virtualization Environment (NERVE)を標的としています。攻撃者は、Ivanti Connect Secureに存在する2つのゼロデイ脆弱性(CVE-2023–46805およびCVE-2024–21887)を利用し、MITREの研究ネットワーク内でVMwareインフラストラクチャを介して移動しました。攻撃者は、バックドアとウェブシェルの組み合わせを使用して持続的にアクセスを維持し、認証情報を収集しました。

この攻撃で初期アクセスに使用されたPerlベースのウェブシェル「ROOTROT」は、中国系のサイバースパイクラスターUNC5221によるものであり、このグループは他のウェブシェルとも関連しています。ROOTROTは正規のConnect Secure .ttcファイルに埋め込まれ、攻撃者はこれを利用してNERVE環境をプロファイリングし、複数のESXiホストとの通信を確立しました。

攻撃者はその後、MITREのVMwareインフラストラクチャを制御し、Golangベースのバックドア「BRICKSTORM」と、以前に文書化されていなかったウェブシェル「BEEFLUSH」を配置しました。これにより、攻撃者は任意のコマンドを実行し、コマンドアンドコントロールサーバーと通信するための持続的なアクセスを確立しました。さらに、SSH操作や怪しいスクリプトの実行などの技術を利用して、侵害されたシステムを制御しました。

この攻撃の影響は、セキュリティコミュニティにとって重要な教訓を提供します。まず、ゼロデイ脆弱性の存在とその悪用は、組織のセキュリティ体制にとって常に大きなリスクをもたらします。また、攻撃者が高度な技術と戦術を駆使して持続的にアクセスを維持し、機密情報を収集する能力を持っていることが示されました。このような攻撃から身を守るためには、組織は定期的なセキュリティ監査、脆弱性の迅速な修正、異常なネットワーク活動の監視、および従業員のセキュリティ意識向上トレーニングを実施する必要があります。

さらに、この事件は国家支援のサイバースパイ活動の脅威を浮き彫りにします。国家レベルのアクターは、高度な技術と資源を持っており、特定の目的のために長期間にわたって標的を監視し、攻撃を行う能力があります。このような脅威に対抗するためには、国際的な協力と情報共有が不可欠です。最後に、この攻撃は、サイバーセキュリティが単に技術的な問題ではなく、組織の全体的なリスク管理戦略の一部であるべきであることを再確認させます。

from China-Linked Hackers Used ROOTROT Webshell in MITRE Network Intrusion.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » MITRE対象のサイバー攻撃、ゼロデイ脆弱性を悪用

Latest News