US/UK が警告:イランのハッカーが Microsoft Exchange/Fortinet FortiOS を悪用

US, UK warn of Iranian hackers exploiting Microsoft Exchange, Fortinet

2021/11/17 BleepingComputer — 今日、米国/英国。/オーストラリアのサイバーセキュリティ機関は、イランの支援を受けたハッキング・グループに関連する、Microsoft Exchange ProxyShell と Fortinet の脆弱性が継続的に悪用されていると警告した。この警告は、CISA/FBI/ACSC (Australian Cyber Security Centre)/NCSC (United Kingdom’s National Cyber Security Centre) の4機関により共同で発表されている。

CISAは、「FBI と CISA は、このイラン政府に支援された APT グループが、2021年3月以降に Fortinet の脆弱性を悪用し、また、2021年10月以降に Microsoft Exchange ProxyShell の脆弱性を悪用して、ランサムウェアの展開を含む継続的な作戦に先立ち、システムへの初期アクセスを得ていることを確認した」と述べている。ACSC も、「この APT グループは、オーストラリアで Microsoft Exchange の同じ脆弱性を悪用していると認識している」と付け加えている。

イランの国家支援ハッカーは、米国の重要インフラ部門 (運輸/医療など) やオーストラリアの組織を中心に攻撃を行っている。彼らの目的は、重要部門のターゲットへの最初のアクセスを獲得し、データ流出/ランサムウェア展開/恐喝などの悪質な目的に、それを使用することだ。

CISA と FBI は、イランがスポンサードするハッキング・グループが観測された、複数の事例についても情報を共有している。

  • 2021年3月に FBI と CISAは、イラン政府に支援された APT 脅威アクターが、Port 4443/8443/10443 を介して、Fortinet FortiOS の脆弱性 CVE-2018-13379 の存在するデバイスをスキャンし、FortiOS の脆弱性 CVE-2020-12812/CVE-2019-5591 に関連するデバイスを列挙しているのを確認した。イラン政府が支援する APT 脅威アクターは、これらの脆弱性を悪用し、脆弱なネットワークにアクセスしたと考えられる。
  • 2021年5月に、イラン政府にスポンサードされる APT 脅威アクターは、Fortigate アプライアンスを悪用し、米国の地方自治体のドメインをホスティングしている Web サーバーにアクセスした。この行為者は、悪意のある活動を可能にするために、elie という 名のユーザー・アカウントを作成したと考えられる。
  • 2021年6月に、APT脅威アクターは、Fortigate アプライアンスを悪用して、米国に拠点を置く小児科病院に関連する環境制御ネットワークにアクセスした。この APT 脅威アクターは、FBI と CISA がイラン政府のサイバー活動に関連していると分析した、IPアドレス 154.16.192[.]70 から、この病院のユーザー・アカウントにアクセスした。
  • 2021年10月現在、これらの APT 脅威アクターは、Microsoft Exchange ProxyShell の脆弱性 CVE-2021-34473 を悪用し、今後に継続される活動に先行して、システムへの初期アクセスを行っている。

    今回の共同アドバイザリに含まれる情報は、火曜日に Microsoft Threat Intelligence Center (MSTIC) が発表したレポートの記載内容と一致している。このレポートの中で Microsoft は、イランにおける APT の進化と、常に変化する脅威としての適応能力について、情報を提供している。2020年9月に始まった攻撃でランサムウェアを展開し、データを流出させている6つのイラン脅威グループを追跡していると、Microsoft は述べている。このグループが、Fortinet の FortiOS SSL VPN や、Microsoft Exchange の ProxyShell などの、多くの製品の脆弱性をスキャンして悪用していること、MSTIC は確認している。

    また、FBI は 1週間前に、イランの脅威アクターがクリアウェブやダークウェブから、世界の組織に関連する情報を購入し、システムに侵入しようとしていることを、民間企業であるパートナーたちに警告した。FBI/CISA/ACSC/NCSC は、「重要インフラ組織に対して、イラン政府が支援するサイバー犯罪者からの侵害リスクを軽減するために、本勧告の緩和策に記載されている推奨事項を適用するよう促している」と付け加えている。これらの攻撃に関する技術的な詳細 (侵害の兆候や MITRE ATT&CK の戦術/技術/検知手段/緩和策など) は、本日に発表された共同アドバイザリに記載されている。

イランからの攻撃に関しては、10月に「Microsoft 警告:イランのハッカーが防衛産業にパスワード・スプレー攻撃」という記事をポストしています。この記事には、イランに関連する脅威アクターが、米国とイスラエルの防衛技術企業が使用する Office 365 テナントを標的に、大規模なパスワード・スプレー攻撃を行っていると記されていました。Russia Government で検索中国+Government で検索でも、いろいろと出てきます。

%d bloggers like this: