Last Updated on 2024-06-20 04:32 by 門倉 朋宏
中国系のサイバースパイグループが、Fortinet、Ivanti、VMwareのゼロデイ脆弱性を悪用していることが確認された。このグループは、UNC3886として知られ、複数の永続性メカニズムを使用して、侵害された環境へのアクセスを維持している。攻撃には、CVE-2022-41328(Fortinet FortiOS)、CVE-2022-22948(VMware vCenter)、CVE-2023-20867(VMware Tools)などのゼロデイ脆弱性が利用され、バックドアの展開や深いアクセスのための認証情報の取得などが行われた。
UNC3886は、セキュリティソフトウェアを回避し、政府や企業のネットワークに潜入して被害者を長期間にわたって監視する技術を開発した。このグループは、ゲスト仮想マシン(VM)上で公開されているrootkitであるReptileやMedusaを使用している。Medusaは、成功した認証からユーザー認証情報をログに記録し、コマンド実行を可能にする機能を持つ。
さらに、UNC3886は、GitHubやGoogle Driveをコマンドアンドコントロール(C2)チャネルとして利用する2つのバックドア、MOPSLEDとRIFLESPINEをシステムに配布している。また、SSHクライアントにバックドアを仕込むことで、2023-20867の悪用後に認証情報を収集し、Medusaを使用してカスタムSSHサーバーを設定している。
攻撃対象は、北米、東南アジア、オセアニアのほか、ヨーロッパ、アフリカ、アジアの他の地域にも及び、政府、通信、技術、航空宇宙と防衛、エネルギーと公益事業部門が標的にされている。FortinetとVMwareのセキュリティ勧告に従って、潜在的な脅威に対する保護を強化することが推奨されている。
【ニュース解説】
中国系のサイバースパイグループ、UNC3886がFortinet、Ivanti、VMwareのゼロデイ脆弱性を悪用していることが確認されました。このグループは、侵害された環境において複数の永続性メカニズムを用いてアクセスを維持し、政府や企業のネットワークに潜入し、長期間にわたって監視を行う高度な技術を持っています。
この攻撃において、UNC3886は特定のゼロデイ脆弱性を利用してバックドアを展開し、深いアクセスのための認証情報を取得しています。特に、ReptileやMedusaといった公開されているrootkitを使用しており、これらはゲスト仮想マシン(VM)上で動作し、ユーザー認証情報のログ記録やコマンド実行を可能にします。
また、UNC3886はGitHubやGoogle Driveを利用するバックドア、MOPSLEDとRIFLESPINEを配布しており、これらは信頼されたサービスを悪用することで検出を避けることができます。SSHクライアントにバックドアを仕込むことで認証情報を収集し、さらにMedusaを使用してカスタムSSHサーバーを設定することで、さらに深いネットワーク侵入を試みています。
攻撃の対象となっているのは、北米、東南アジア、オセアニアをはじめとする世界各地の政府、通信、技術、航空宇宙と防衛、エネルギーと公益事業部門です。このような攻撃は、対象となる組織にとって重大なセキュリティリスクをもたらし、機密情報の漏洩やサイバースパイ活動の対象となる可能性があります。
このニュースからわかるように、サイバーセキュリティは常に進化している脅威に対応する必要があります。特にゼロデイ脆弱性は、未知の脅威であるため、発見され次第迅速に対処することが重要です。FortinetやVMwareなどの企業は、セキュリティ勧告を通じて対策を提供していますが、組織はこれらの勧告に従い、システムの定期的な更新と監視を行うことが不可欠です。
長期的な視点では、このような攻撃はサイバーセキュリティの規制や政策に影響を与える可能性があります。国際的な協力と情報共有の強化、サイバーセキュリティ対策の標準化、そして企業や政府機関におけるセキュリティ意識の向上が求められています。また、先進的なサイバー攻撃に対抗するためには、AIや機械学習を活用したセキュリティソリューションの開発も重要な方向性となるでしょう。
from Chinese Cyber Espionage Group Exploits Fortinet, Ivanti and VMware Zero-Days.
