SolarWindsのIT管理製品がAPT攻撃の標的に - 巧妙な隠蔽も
ネットワークやサーバなどITインフラの管理製品「SolarWinds Orion Platform」に対して、国家が関与したと見られるサイバー攻撃が展開されていることがわかった。SolarWindsはホットフィクスをリリースし、利用者へ対応を呼びかけている。
同社によれば、3月から6月にかけてリリースした「バージョン2019.4」「バージョン2020.2.1」を対象として攻撃が展開されていることが判明したもの。国家の支援を受けた攻撃である可能性があるとの見方を示している。
今回の攻撃について、FireEyeは、北米、ヨーロッパ、アジア、中東など侵入キャンペーンがグローバルの広範囲に展開されており、「UNC2452」として攻撃グループを追跡していると説明。
「UNC2452」には熟練した攻撃者が関与しており、政府や電気通信、テクノロジー、鉱業、コンサルティングなどの分野を攻撃対象としていた。2020年春ごろより攻撃が開始されたと見られ、現在も進行中だという。
同プラットフォームのソフトウェアアップデートを悪用するサプライチェーン攻撃で、SolarWindsの正規署名を含むプラグインをトロイの木馬化したマルウェア「SUNBURST」を展開。侵入後は、ラテラルムーブメントを行い、情報を窃取されるおそれがある。
同マルウェアは、同プラットフォームのプロトコルに偽装して通信を行い、探索結果などを合法的なプラグイン設定ファイルに保存することで検知を逃れようとしていた。
(Security NEXT - 2020/12/14 )
ツイート
PR
関連記事
「サイバーセキュリティ月間」がスタート - 日米豪印による連携も
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
取材や講演会依頼装う標的型攻撃 - 「コロナで中止」とつじつま合わせ
NSAのリバースエンジニアリングツール「Ghidra」に脆弱性
政府、年末年始のセキュリティ対策で注意喚起
登録セキスぺ試験、午後試験を見直して60分短縮
「Citrix ADC」脆弱性、攻撃グループ「APT5」が悪用か - 米政府指摘
米政府、ソフトウェアサプライチェーン保護のガイダンスを公開
「Exchange Server」のゼロデイ脆弱性、月例パッチで修正 - 他脆弱性にも注意
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も