Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加
マイクロソフトでは「Cobalt Strike」のインフラを配し、ランサムウェア「Conti」を展開するグループ「DEV-0365」の追跡も行っている。
しかし、今回の攻撃で一部インフラが重なるものの、異なるグループがインフラに関与している可能性があり、攻撃活動にもばらつきがあることも踏まえ、異なるグループ「DEV-0413」と識別した。
また今回の攻撃で悪意あるOLEオブジェクトの配信には、Mandiantが「UNC1878」として追跡する「DEV-0193」のインフラも使用されていた。同インフラは、これまでも「BazaLoader」「Trickbot」の配信にも利用されているという。
当初の攻撃はターゲットを絞り込んでおり、8月にマイクロソフトが確認した攻撃は10件に満たなかったが、アドバイザリ公表の翌日となる9月8日には、Mandiantが発見したものと同じ検体が別の研究者からも報告された。
検体は同日広く公開され、24時間を待たずに「CVE-2021-40444」の試行が大きく増加。公開後に「概念実証(PoC)コード」が「RaaS(ransomware-as-a-service)」のツールキットに転用されたことも判明しているという。
同社では、同脆弱性への対策として、9月に公開した月例セキュリティ更新の適用をはじめ、OSを最新の状態に保つことや「Microsoft Defender」によるマルウェア対策や悪意ある設定変更の防止、「EDR」としての利用などを呼びかけている。
「CVE-2021-40444」を悪用する攻撃の観測動向(グラフ:MS)
(Security NEXT - 2021/09/17 )
ツイート
PR
関連記事
「Firefox」に複数脆弱性、アップデート公開 - 「クリティカル」との評価も
Cisco製品のゼロデイ脆弱性、国内スパム対策サービスで不正アクセス被害
「PHP」に複数脆弱性 - 修正版「同8.5.1」など公開
WatchGuard製UTM「Firebox」のVPN脆弱性悪用に注意喚起 - 米当局
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
CiscoやSonicWallのゼロデイ脆弱性悪用に注意喚起 - 米CISA
「Node.js」のアップデートが再延期 - 年明け2026年1月7日を予定
SonicWallのリモートアクセス製品「SMA1000」にゼロデイ脆弱性
