Volt Typhoon – IoT OT Security News

D-Link NAS の脆弱性 CVE-2024-3273：EoL デバイスを狙う積極的な攻撃を観測

Hackers Actively Exploiting Critical D-Link NAS Vulnerability: 90,000+ Devices at Risk

2024/05/30 SecurityOnline — D-Link NAS の EOL (end-of-life) デバイス群に、深刻な脆弱性 CVE-2024-3273 が存在することが、サイバーセキュリティ企業 CYFIRMA からの緊急の警告により判明した。この脆弱性の CVSS 基本スコアは 9.8 であり、広範囲での悪用が懸念されている。

Ivanti 製品の脆弱性：中国系のハッカーが新たな TTP を開発している

Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities

2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる５つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure／Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805／CVE-2024-21887／CVE-2024-21893 の悪用が既に発見／報告されているが、この活度は、その後に続くものである。

Earth Krahang は中国由来の APT：ありきたりの OSS ツールで 48の政府機関を侵害

Chinese APT ‘Earth Krahang’ Compromises 48 Gov’t Orgs on 5 Continents

2024/03/19 DarkReading — これまで正体不明だった、中国のスパイ・グループが特定された。このフループは、標準的な TTP (Tactics／Techniques／Procedures) を用いながらも、23カ国の少なくとも 70組織への侵入に成功したが、そこには政府機関の 48組織も含まれていたという。Earth Krahang は、高レベルの軍事 APT ではないようだ。Trend Micro の研究者たちは新たなレポートの中で、中国共産党 (CCP) が契約した、民間のハッカー雇用オペレーションである、iSoon の一部である可能性を示唆している。

Fortinet EMS の RCE 脆弱性 CVE-2023-48788 が FIX：直ちにアップデートを！

Fortinet Warns of Yet Another Critical RCE Flaw

2024/03/15 DarkReading — Fortinet は、エンドポイント・デバイス管理ツールである FortiClient Enterprise Management Server (EMS) に存在する、リモート・コード実行 (RCE：Remote Code Execution) の深刻な脆弱性にパッチを適用した。この脆弱性 CVE-2023-48788 は、サーバのダイレクト接続ストレージ・コンポーネントにおける、SQL インジェクション・エラーに起因する。この脆弱性の悪用に成功した未認証の攻撃者は、特別に細工されたリクエストを使用して、影響を受けるシステム上の管理者権限で、任意のコードやコマンドを実行することが可能になる。

CISA／FBI 共同警告：SOHO ルーターへの Volt Typhoon 攻撃の対処を要請

CISA: Vendors must secure SOHO routers against Volt Typhoon attacks

2024/01/31 BleepingComputer — CISA が発した警告は、進行中の攻撃から機器のセキュリティを確保するよう、SOHO (small office/home office) ルーターの製造業者に求めるものだ。展開されている攻撃というのは、特に中国が支援するハッキング・グループ Volt Typhoon (別名：Bronze Silhouette) が、ルーターの乗っ取りを試みているというものだ。CISA／FBI による共同ガイダンスで、両機関がベンダーに求めているのは、設計／開発段階における SOHO ルーターの WMI (Web Management Interface) の脆弱性の解消だ。

Volt Typhoon は中国の APT：KV-botnet で SOHO ルーターや VPN 機器を攻撃？

Stealthy KV-botnet hijacks SOHO routers and VPN devices

2023/12/13 BleepingComputer — Volt Typhoon (Bronze Silhouette) という中国由来の APT ハッキング・グループは、遅くとも 2022年以降において、SOHO ルーターを標的とする攻撃するために、KV-botnet ボットネットを使用していると推定される。Volt Typhoon の手口は、主にルーター／ファイアウォール／VPN デバイスなどに対して、悪意のトラフィックをプロキシすることで、正規のトラフィックに紛れ込ませて検知を回避するというものだ。Microsoft と米国政府による共同レポートには、攻撃者たちは米国内の通信インフラを混乱させるための悪意のインフラを構築していると記されている。

Volt Typhoon という中国ハッカー：重要インフラを攻撃する手口が明らかになってきた

Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks

2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。

Fortinet の脆弱性 CVE-2023-27997 が悪用されている：Volt Typhoon が攻撃？

Fortinet: New FortiOS RCE bug “may have been exploited” in attacks

2023/06/12 BleepingComputer — 先週パッチが適用された FortiOS SSL VPN の深刻な脆弱性だが、政府機関／製造業／重要インフラ組織に影響を与える攻撃において、悪用された可能性があると、Fortinet が発表した。この脆弱性 CVE-2023-27997 (FG-IR-23-097) は、FortiOS および FortiProxy SSL-VPN におけるヒープバッファ・オーバーフローに起因し、悪意を持って細工されたリクエストを介して、認証されていない攻撃者にリモートコード実行 (RCE) を許すものだ。

米海軍グアムの IT インフラにハッカーが侵入：China 対 Five Eyes の情報戦が始まる？

US Navy hit by Chinese hacking campaign, report says

2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府／通信／製造／IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。

Volt Typhoon という中国の APT：グアムの重要インフラへの攻撃を Microsoft が検知

Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs

2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。