「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘

「UNC2717」では、「RADIALPULSE」を利用していたほか、あらたな「PULSEJUMP」「HARDPULSE」などあらたなマルウェアファミリーを発見。「UNC2630」が利用したマルウェアファミリーと共通の特徴も見られたという。

あわせて改ざんされたOpenSSLライブラリファイル「LOCKPICK」も確認された。詳しい目的はわかっていないが、暗号の強度などを落としていた可能性もある。

情報は十分ではなく、現状見つかっているマルウェアファミリーすべてが「UNC2630」や「UNC2717」に関係するとの結論には至っていない。ゆるい関連を持つ別のAPTグループなどがツールの開発や提供に関与している可能性もあるとしている。

同社は、調査は初期段階にあると前置きした上で、2020年8月ごろから2021年3月にかけて7種類のマルウェアファミリを用いて米国の防衛関連事業者を攻撃した「UNC2630」について、2014年と2015年に展開された「APT 5」と多くの類似性が見られたほか、中国支援のもと、活動していることを示す証拠なども見つかっているという。

また「UNC2630」では、米国をはじめ、ヨーロッパ、アジアにおける防衛産業やテクノロジー企業などを対象に攻撃を展開していた。

（Security NEXT - 2021/04/22 ） ツイート

PR

関連記事

Ivantiのリモートアクセス製品に複数脆弱性 - アップデートが公開
Ivanti、「外部整合性チェックツール」の機能強化版を公開
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
IvantiのVPN製品脆弱性、限定的な攻撃から多様な攻撃へと発展
Ivanti製リモートアクセス製品に再び脆弱性 - 悪用は未確認
Ivanti製品のあらたなゼロデイ脆弱性 - 米当局が3日以内の対応を要請
Ivantiがアップデートをリリース - あらたなゼロデイ脆弱性も公表
Ivanti製品、パッチ提供に遅れ - 緩和策を回避する攻撃も
Ivanti脆弱性、PoC公開で攻撃増 - 痕跡消去の可能性も踏まえ調査を
米政府、IvantiのVPN製品脆弱性を受けて緊急指令