Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

SolarWindsのIT管理製品がAPT攻撃の標的に - 巧妙な隠蔽も

侵入後にはさまざまなペイロードを利用しており、メモリ上でのみで動作するドロッパー「TEARDROP」を通じて「Cobalt Strike BEACON」なども展開。

通信先となるコマンド&コントロールサーバは、VPNを利用して標的の組織と同じ国のIPアドレスを利用。ホスト名には、攻撃環境で取得した組織が利用する正当なホスト名と同じものを設定するなど、不正な通信を隠蔽しようとしていた。

こうした状況を受け、SolarWindsでは利用者に対して、利用するバージョンを確認し、ホットフィクスとなる「バージョン2020.2.1 HF 1」にアップグレードするよう注意を喚起。更新できない場合はアクセス制限など対策を講じてセキュリティを確保するよう呼びかけた。

12月15日には、侵害されたコンポーネントを置き換え、セキュリティ強化なども盛り込んだホットフィクス「2020.2.1 HF 2」をリリースする予定で、全利用者へアップデートを実施するよう求めている。

またFireEyeでは、GitHubを通じて攻撃に利用されたIPアドレスやYaraルール、Snortの定義ファイルなどを公開。攻撃活動を発見した場合は包括的に調査を実施し、復旧を行うよう注意を呼びかけている。

(Security NEXT - 2020/12/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

クラウド利用増加で標的型攻撃が進化 - 「初期アクセス」獲得阻止が重要に
国際作戦で「LockBit」の一部関係者を逮捕 - 復号鍵など押収
ITパスポート試験、システム障害で中止に - 振替受験を実施
まもなく「CODE BLUE 2023」が開催 - 創立者が語る注目ポイント
「セキュリティ・バイ・デザイン」ガイダンスに新版 - 「AIシステム」も対象
「Security Days Fall 2023」を都内と大阪で開催
よく見られるセキュリティ構成ミスは? - 米当局がランキング
日米当局、中国が関与するサイバー攻撃について注意喚起
「CODE BLUE 2023」のタイムテーブル - 脆弱性関連の講演充実
Android狙うマルウェア「Infamous Chisel」 - 海外当局がロシア関与と分析