「Exchange Server」攻撃で悪用された「China Chopper」の解析情報
「Microsoft Exchange Server」の脆弱性を狙った攻撃が発生していることを受け、米政府は、攻撃で悪用されたマルウェア「China Chopper」の解析情報を公開した。
マイクロソフトでは、現地時間3月2日に定例外のセキュリティ更新プログラムをリリースするとともに、中国が支援するグループによって脆弱性が悪用されたとの見方を示したが、その後攻撃が拡大。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では政府機関にとどまらず、広い機関へ注意を喚起し、3月10日には米連邦捜査局(FBI)と共同で注意喚起を行っている。
今回、一連の攻撃に関連し、マルウェアの感染調査に活用できるよう、攻撃に利用されたマルウェア「China Chopper」に関する7件の情報を追加した。
「China Chopper」は、外部からの遠隔操作が可能となる「Webシェル」で、少なくとも2012年ごろより悪用が確認されているマルウェア。情報の窃取や、他マルウェアの感染活動、内部との通信、コマンド&コントロールサーバなどに悪用されるおそれがある。マルウェアそのものは、国家が関与する攻撃はもちろん、すでに幅広い攻撃者によって悪用されている。
CISAでは、今回の攻撃で悪用された「China Chopper」の構成ファイルの解析情報を公開。STIX形式でも提供している。7件の情報が提供されているが、これ以外にも利用されている可能性がある。
CISAでは、アップデートに限らず、侵害の有無を調査する必要があることを強調しており、マイクロソフトが公開したスクリプトをはじめ、従来より提供している「IoC(Indicators of Compromise)」情報なども活用するよう呼びかけている。
(Security NEXT - 2021/03/15 )
ツイート
関連リンク
- CISA:Mitigate Microsoft Exchange Server Vulnerabilities
- CISA:MAR-10328877-1.v1: China Chopper Webshell
- CISA:MAR-10328923-1.v1: China Chopper Webshell
- CISA:MAR-10329107-1.v1: China Chopper Webshell
- CISA:MAR-10329297-1.v1: China Chopper Webshell
- CISA:MAR-10329298-1.v1: China Chopper Webshell
- CISA:MAR-10329301-1.v1: China Chopper Webshell
- CISA:MAR-10329494-1.v1: China Chopper Webshell
- サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)
PR
関連記事
「Cisco IOS XR」に複数の脆弱性 - アップデートで修正
侵入後に即攻撃するランサムウェア「Ghost」に注意 - 70カ国以上で被害
Chrome機能拡張「EXIF Viewer」の脆弱性 - 数年越しの調整
「MS 365」のログ活用、脅威検知分析を実現する資料 - 米当局
「Sophos Firewall」に複数の深刻な脆弱性 - 影響は1%未満
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
MS、月例パッチで脆弱性90件を修正 - すでに2件は悪用済み
8月は脆弱性19件を「悪用が確認された脆弱性カタログ」に追加 - 米当局
悪用確認済み脆弱性に4件を新規登録 - 米当局
MS、3月の月例更新で「Exchange Server」に生じた不具合に対応
