Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Exchange Server」へのゼロデイ攻撃、中国支援グループが関与か

「Microsoft Exchange Server」に脆弱性が存在し、標的型攻撃に悪用された問題でマイクロソフトは中国が支援する攻撃グループ「HAFNIUM」が関与した可能性が高いとの見方を示した。

マイクロソフトは、現地時間3月2日に定例外のセキュリティ更新をリリース。あわせて7件の脆弱性を修正したが、そのうち4件「CVE-2021-26855」「CVE-2021-26857」「CVE-2021-26858」「CVE-2021-27065」についてゼロデイ攻撃に悪用されたことがわかっている。

攻撃キャンペーンを分析したマイクロソフトは、戦術や手法などから、中国の支援を受ける攻撃グループ「HAFNIUM」の関与に強い自信を持っていると述べた。同グループは、これまでも政策、法律、教育機関、防衛産業、感染症研究、NGOなど、米国の幅広いセクターの関係者に対して攻撃を展開している。

今回のケースでは、「Exchange Server」が侵害されるとマルウェアをインストールされ、メールアカウントが侵害されるなど長期間にわたり被害が生じるおそれがある。

攻撃者は、侵入先となるサーバに「ASP」による「ウェブシェル」を展開。メモリダンプやメールボックス、アドレスブックなどを窃取するほか、ファイルの圧縮やさらなるリバースシェルのインストールなども行っていた。

(Security NEXT - 2021/03/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

米政府、脆弱性「Citrix Bleed」についてガイダンスを公開
「Citrix Bleed」に対する攻撃増加 - 著名ランサムグループも悪用
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
露APT28のマルウェア「GooseEgg」が見つかる - 2019年4月よりゼロデイ攻撃を展開か
「VMware ESXi」も標的とするランサムウェア「Akira」に警戒を
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
ランサムウェア被害による情報流出を確認 - アニエスベー
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
「LockBit」にあらたなリークサイト - ブランド回復に躍起
2月修正のWindows脆弱性、北朝鮮グループがゼロデイ攻撃に悪用