Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加
マイクロソフトでは「Cobalt Strike」のインフラを配し、ランサムウェア「Conti」を展開するグループ「DEV-0365」の追跡も行っている。
しかし、今回の攻撃で一部インフラが重なるものの、異なるグループがインフラに関与している可能性があり、攻撃活動にもばらつきがあることも踏まえ、異なるグループ「DEV-0413」と識別した。
また今回の攻撃で悪意あるOLEオブジェクトの配信には、Mandiantが「UNC1878」として追跡する「DEV-0193」のインフラも使用されていた。同インフラは、これまでも「BazaLoader」「Trickbot」の配信にも利用されているという。
当初の攻撃はターゲットを絞り込んでおり、8月にマイクロソフトが確認した攻撃は10件に満たなかったが、アドバイザリ公表の翌日となる9月8日には、Mandiantが発見したものと同じ検体が別の研究者からも報告された。
検体は同日広く公開され、24時間を待たずに「CVE-2021-40444」の試行が大きく増加。公開後に「概念実証(PoC)コード」が「RaaS(ransomware-as-a-service)」のツールキットに転用されたことも判明しているという。
同社では、同脆弱性への対策として、9月に公開した月例セキュリティ更新の適用をはじめ、OSを最新の状態に保つことや「Microsoft Defender」によるマルウェア対策や悪意ある設定変更の防止、「EDR」としての利用などを呼びかけている。
「CVE-2021-40444」を悪用する攻撃の観測動向(グラフ:MS)
(Security NEXT - 2021/09/17 )
ツイート
PR
関連記事
「Cisco FMC」に深刻な脆弱性 - 認証なしでコマンド実行のおそれ
Cisco、ファイアウォール製品群にアドバイザリ21件を公開
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起
Palo Alto、セキュリティアドバイザリ6件を公開
「Spring Framework」に脆弱性 - アップデートで修正
LLMキャッシュ管理ツールにRCE脆弱性 - キャッシュ汚染に起因
