ランサムウェア「Cring」、脆弱VPN機器を標的 - 制御システムが停止する被害も
Kasperskyが調査した事例では、本格的な攻撃を開始する数日前より、攻撃者はVPNゲートウェイに対してバージョンなどを確認すると見られるテスト接続を実行。侵入後は、「Mimikatz」を外部よりダウンロードし、ドメイン管理者のアカウントを侵害したほか、マルウェアや「CobaltStrike」などを展開していた。
さらに「kaspersky」との名称でPowerShellを起動してスクリプトを実行しており、悪意ある操作をセキュリティ製品の挙動に見せかけた可能性がある。また暗号化前には、データベースやバックアップシステムのプロセスなど終了させ、バックアップと見られるファイルやフォルダの削除なども行っていた。
同社は、サイバー攻撃に利用された脆弱性について、従来よりFortinetから繰り返し注意喚起が行われていると指摘。ゲートウェイにおいて最新のファームウェアを用いるよう注意を呼びかけた。
エンドポイントで利用するマルウェア対策製品については、最新の状態で利用することはもちろん、すべてのコンポーネントが有効化されていることを確認するよう求めている。
適切な認証制御のほか、VPN接続をはじめ、産業制御システムにおけるネットワーク接続において、必要としない接続の遮断やネットワークにおける監視などを実施することなど対策を呼びかけている。
(Security NEXT - 2021/04/20 )
ツイート
関連リンク
PR
関連記事
先週注目された記事(2026年6月21日〜2026年6月27日)
「FortiBleed」に国内組織の情報も - 影響調査など実施を
「FortiOS」の「SSL VPN」脆弱性に関するアドバイザリを更新
FWやVPNの認証情報を攻撃者が大量保有 - 「FortiBleed」に要警戒
米当局、Check Point製UTMやLiteLLMの脆弱性悪用に注意喚起
Check Pointのレガシー構成VPNにゼロデイ脆弱性 - 5月初旬より悪用
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認
「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
VPNクライアント「OpenVPN Connect」macOS版に脆弱性 - 修正版公開
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ

