SolarWindsのIT管理製品がAPT攻撃の標的に - 巧妙な隠蔽も

侵入後にはさまざまなペイロードを利用しており、メモリ上でのみで動作するドロッパー「TEARDROP」を通じて「Cobalt Strike BEACON」なども展開。

通信先となるコマンド＆コントロールサーバは、VPNを利用して標的の組織と同じ国のIPアドレスを利用。ホスト名には、攻撃環境で取得した組織が利用する正当なホスト名と同じものを設定するなど、不正な通信を隠蔽しようとしていた。

こうした状況を受け、SolarWindsでは利用者に対して、利用するバージョンを確認し、ホットフィクスとなる「バージョン2020.2.1 HF 1」にアップグレードするよう注意を喚起。更新できない場合はアクセス制限など対策を講じてセキュリティを確保するよう呼びかけた。

12月15日には、侵害されたコンポーネントを置き換え、セキュリティ強化なども盛り込んだホットフィクス「2020.2.1 HF 2」をリリースする予定で、全利用者へアップデートを実施するよう求めている。

またFireEyeでは、GitHubを通じて攻撃に利用されたIPアドレスやYaraルール、Snortの定義ファイルなどを公開。攻撃活動を発見した場合は包括的に調査を実施し、復旧を行うよう注意を呼びかけている。

（Security NEXT - 2020/12/14 ）ツイート