「Exchange Server」へのゼロデイ攻撃、中国支援グループが関与か

「Microsoft Exchange Server」に脆弱性が存在し、標的型攻撃に悪用された問題でマイクロソフトは中国が支援する攻撃グループ「HAFNIUM」が関与した可能性が高いとの見方を示した。

マイクロソフトは、現地時間3月2日に定例外のセキュリティ更新をリリース。あわせて7件の脆弱性を修正したが、そのうち4件「CVE-2021-26855」「CVE-2021-26857」「CVE-2021-26858」「CVE-2021-27065」についてゼロデイ攻撃に悪用されたことがわかっている。

攻撃キャンペーンを分析したマイクロソフトは、戦術や手法などから、中国の支援を受ける攻撃グループ「HAFNIUM」の関与に強い自信を持っていると述べた。同グループは、これまでも政策、法律、教育機関、防衛産業、感染症研究、NGOなど、米国の幅広いセクターの関係者に対して攻撃を展開している。

今回のケースでは、「Exchange Server」が侵害されるとマルウェアをインストールされ、メールアカウントが侵害されるなど長期間にわたり被害が生じるおそれがある。

攻撃者は、侵入先となるサーバに「ASP」による「ウェブシェル」を展開。メモリダンプやメールボックス、アドレスブックなどを窃取するほか、ファイルの圧縮やさらなるリバースシェルのインストールなども行っていた。

（Security NEXT - 2021/03/04 ）ツイート