Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Exchange Server」へのゼロデイ攻撃、中国支援グループが関与か

「Microsoft Exchange Server」に脆弱性が存在し、標的型攻撃に悪用された問題でマイクロソフトは中国が支援する攻撃グループ「HAFNIUM」が関与した可能性が高いとの見方を示した。

マイクロソフトは、現地時間3月2日に定例外のセキュリティ更新をリリース。あわせて7件の脆弱性を修正したが、そのうち4件「CVE-2021-26855」「CVE-2021-26857」「CVE-2021-26858」「CVE-2021-27065」についてゼロデイ攻撃に悪用されたことがわかっている。

攻撃キャンペーンを分析したマイクロソフトは、戦術や手法などから、中国の支援を受ける攻撃グループ「HAFNIUM」の関与に強い自信を持っていると述べた。同グループは、これまでも政策、法律、教育機関、防衛産業、感染症研究、NGOなど、米国の幅広いセクターの関係者に対して攻撃を展開している。

今回のケースでは、「Exchange Server」が侵害されるとマルウェアをインストールされ、メールアカウントが侵害されるなど長期間にわたり被害が生じるおそれがある。

攻撃者は、侵入先となるサーバに「ASP」による「ウェブシェル」を展開。メモリダンプやメールボックス、アドレスブックなどを窃取するほか、ファイルの圧縮やさらなるリバースシェルのインストールなども行っていた。

(Security NEXT - 2021/03/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

日本も攻撃対象、中国関与の攻撃活動を非難 - 外務報道官談話
「SonicWall」の旧製品に差し迫るランサムウェアの危機
MSPも利用するIT管理ツールがゼロデイ攻撃の標的に - 日本でも検知
2020年度下半期の「J-CRAT」相談は201件 - レスキュー支援が増加
サーバや端末など25台でランサム被害 - 摂津金属工業
続くVPN機器への攻撃 - 「修正済み」のつもりが無防備だったケースも
欧州子会社5社のランサム被害、2社では情報流出なし - 東芝テック
ワクチン予約受付を装うスミッシング、「不在通知」のグループ関与か
欧州5拠点で同時多発的なランサム被害 - 東芝テック
FFRI、先端技術分野の脅威分析やトレーニングなど新サービス