「Exchange Server」へのゼロデイ攻撃、中国支援グループが関与か
「Microsoft Exchange Server」に脆弱性が存在し、標的型攻撃に悪用された問題でマイクロソフトは中国が支援する攻撃グループ「HAFNIUM」が関与した可能性が高いとの見方を示した。
マイクロソフトは、現地時間3月2日に定例外のセキュリティ更新をリリース。あわせて7件の脆弱性を修正したが、そのうち4件「CVE-2021-26855」「CVE-2021-26857」「CVE-2021-26858」「CVE-2021-27065」についてゼロデイ攻撃に悪用されたことがわかっている。
攻撃キャンペーンを分析したマイクロソフトは、戦術や手法などから、中国の支援を受ける攻撃グループ「HAFNIUM」の関与に強い自信を持っていると述べた。同グループは、これまでも政策、法律、教育機関、防衛産業、感染症研究、NGOなど、米国の幅広いセクターの関係者に対して攻撃を展開している。
今回のケースでは、「Exchange Server」が侵害されるとマルウェアをインストールされ、メールアカウントが侵害されるなど長期間にわたり被害が生じるおそれがある。
攻撃者は、侵入先となるサーバに「ASP」による「ウェブシェル」を展開。メモリダンプやメールボックス、アドレスブックなどを窃取するほか、ファイルの圧縮やさらなるリバースシェルのインストールなども行っていた。
(Security NEXT - 2021/03/04 )
ツイート
関連リンク
PR
関連記事
欧米当局、ランサム「Hive」を解体 - 捜査官が攻撃インフラに侵入
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
2022年のサイバー攻撃、前年比38%増 - 教育分野への攻撃増加
取材や講演会依頼装う標的型攻撃 - 「コロナで中止」とつじつま合わせ
「Citrix ADC」脆弱性、攻撃グループ「APT5」が悪用か - 米政府指摘
Twitterアカウント狙うフィッシング攻撃が増加 - 「Twitter Blue」に便乗
「Exchange Server」のゼロデイ脆弱性、月例パッチで修正 - 他脆弱性にも注意
重要インフラのランサム被害、4分の1は医療関連分野 - 米政府が注意喚起
4省庁23サイトで障害、DDoS攻撃が原因か - 民間サイトでも障害
明治の海外グループ会社がランサム被害 - 犯行声明も