Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Exchange Server」攻撃で悪用された「China Chopper」の解析情報

「Microsoft Exchange Server」の脆弱性を狙った攻撃が発生していることを受け、米政府は、攻撃で悪用されたマルウェア「China Chopper」の解析情報を公開した。

マイクロソフトでは、現地時間3月2日に定例外のセキュリティ更新プログラムをリリースするとともに、中国が支援するグループによって脆弱性が悪用されたとの見方を示したが、その後攻撃が拡大。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では政府機関にとどまらず、広い機関へ注意を喚起し、3月10日には米連邦捜査局(FBI)と共同で注意喚起を行っている。

今回、一連の攻撃に関連し、マルウェアの感染調査に活用できるよう、攻撃に利用されたマルウェア「China Chopper」に関する7件の情報を追加した。

「China Chopper」は、外部からの遠隔操作が可能となる「Webシェル」で、少なくとも2012年ごろより悪用が確認されているマルウェア。情報の窃取や、他マルウェアの感染活動、内部との通信、コマンド&コントロールサーバなどに悪用されるおそれがある。マルウェアそのものは、国家が関与する攻撃はもちろん、すでに幅広い攻撃者によって悪用されている。

CISAでは、今回の攻撃で悪用された「China Chopper」の構成ファイルの解析情報を公開。STIX形式でも提供している。7件の情報が提供されているが、これ以外にも利用されている可能性がある。

CISAでは、アップデートに限らず、侵害の有無を調査する必要があることを強調しており、マイクロソフトが公開したスクリプトをはじめ、従来より提供している「IoC(Indicators of Compromise)」情報なども活用するよう呼びかけている。

(Security NEXT - 2021/03/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、月例セキュリティ更新で脆弱性108件に対応 - 一部でゼロデイ攻撃も
巧妙化するランサム攻撃、被害の多くが「VPN機器」脆弱性に起因
米政府、「Exchange脆弱性」対策で追加指令 - スキャンや対策強化など要請
MS、「Exchange脆弱性」の影響を緩和する簡易ツールを公開 - 未修正なら活用を
「Exchange Server」脆弱性、10グループ以上が悪用か - パッチ公開前にも
「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に
MS、3月の月例セキュリティ更新を公開 - ゼロデイ脆弱性にも対応
SOCで「Exchange Server」への攻撃は未観測、PoCも未確認 - ラック
「Exchange Server」への攻撃、無差別かつ広範囲に - 米政府が全組織へ注意喚起
米政府、「Exchange Server」の脆弱性対応で緊急指令