SolarWinds ゼロデイの悪用により米防衛機関が標的に

Hackers use new SolarWinds zero-day to target US Defense orgs

2021/07/13 BleepingComputer — 中国を拠点とするハッカーたちが、SolarWinds Serv-U FTP Server の脆弱性を利用して、米国の防衛機関や関連するソフトウェア企業を積極的に攻撃している。本日、SolarWinds Serv-U に存在し、SSH が有効な場合にリモート・コード実行にいたる、ゼロデイ脆弱性に対するセキュリティ・アップデートを公開した。

SolarWinds によると、この脆弱性は Microsoft に開示されたものであり、この脆弱性を積極的に悪用して脆弱な顧客のデバイス上で、任意のコマンドを実行する脅威アクターの存在も確認されている。今晩、Microsoft は、DEV-0322 として追跡されている中国を拠点とする脅威グループが、この攻撃の背後にいることを確信したと発表している。Microsoft Threat Intelligence Center のブログによると、この活動グループは中国を拠点としており、攻撃者用のインフラストラクチャとして、脆弱化された商用 VPN ソリューションやコンシューマ・ルーターを使用していることが確認された。

この脅威グループは、米国の国防産業基盤部門やソフトウェア企業が所有する、一般に公開されている Serv-U FTP Server を標的としている。CISA のドキュメントには、「Defense Industrial Base Sector (DIB Sector) は、米軍の要求を満たすための研究開発機関であり、また、軍事兵器システム/サブシステム/コンポーネント/パーツの設計/製造/配送/保守に対応するグローバルな産業複合体だ」と記載されている。

Microsoft によると、今回の攻撃を初めて検知したのは、Microsoft 365 Defender のテレメトリに、無害なはずの Serv-U プロセスが、異常な悪意のプロセスを起動していることが表示されていたからだという。Microsoft のブログには、「デフォルトでは、インターネットからのアクセスが可能な Serv-U \Common\フォルダ内のファイルに、DEV-0322 cmd.exe コマンドの出力を配管し、攻撃者がコマンドの結果を取得できるようにしているのを確認した」と説明されている。

その他のコマンドには、Serv-U FTP Server のコンフィグレーションに、Global Admin User を追加するものや、バッチやスクリプトによりマルウェアをインストールし、持続的な悪用やリモート・アクセスに対応するものもある。Microsoft によると、Serv-U のユーザーは、Serv-U の DebugSocketLog.txt ログファイルを確認し、例外メッセージを探すことで、デバイスに対する侵害の有無を確認できるようだ。「C0000005; CSUSSHSocket::ProcessReceive」という例外は、脅威アクターが Serv-U Server の悪用を試みたる可能性を示すが、他の理由によりこの例外が表示されることもある。

対象となるデバイスが、侵害された可能性を示す兆候は以下のとおりだ。
・ Client\Common\ フォルダーに、最近作成された .txt ファイルがある。
・ Serv-U による mshta.exe / powershell.exe / cmd.exe などのプロセスがあり、C:\ Windows\temp から実行されている。
・ Serv-U のコンフィグレーション内に、認識できない Global User が存在する。

BleepingComputer では、バッチファイルやスクリプトにより実行されたコマンドやマルウェアについて、Microsoft に問い合わせているが、回答は得られていない。

Microsoft 365 Defender って、なかなかやりますね。悪意のプロセス起動を検知したと解説されていますが、マルウェアを構成するファイルの、静的な状態をスキャンするという方式では、いまの脅威には太刀打ちできなくなっている感じがします。それにしても SolarWinds は、なかなか鎮火しませんね。ランサムウェアによる実質的な被害を除いたところで、どれだけの政府機関と企業が、どれだけのリソースを対策に費やしているのでしょうか?

SolarWinds Serv-U 脆弱性が悪用されている:パッチの適用は必須!
SolarWinds ハッカーたちのドメインが当局に差し押さえられた
SolarWinds ハッカーたちが 24カ国の政府組織を狙っている
ロシアの諜報機関が SolarWinds ハッキングへの関与を否定
米政府:SolarWinds ハッキングの背後にはロシアの SVR がいるらしい

%d bloggers like this: