重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に

具体的には「wmic」「ntdsutil」「netsh」「PowerShell」などを悪用。正常な動作に見せかけて検出を回避しつつ潜伏して活動していた。

こうした活動は、デフォルト設定のままだとログに記録されないおそれがあり、コマンドラインによるプロセスの作成や「WMI」「PowerShell」によるイベントをログに記録するよう構成を見直す必要がある。

くわえて攻撃者は、ログを消去することで活動を隠蔽していた。ログの整合性や可用性を確保するには、ログ消去時のイベントをログとして記録して監視したり、サーバにログを転送するといった対策を推奨事項に挙げている。

厄介なことに攻撃者の用いたコマンドは、正規の業務で使用される可能性がある。アドバイザリの内容をもとに疑わしい活動を検知した場合も、攻撃であるか判断するには追加調査を行い、注意深く対応する必要がある。

またZohoの「ManageEngine ADSelfService Plus」における脆弱性「CVE-2021-40539」やFatPipe Networksの「FatPipe WARP」「同IPVPN｝「同MPVPN」の脆弱性「CVE-2021-27860」のほか、攻撃ではさまざまな脆弱性が悪用されていた。

（Security NEXT - 2023/06/01 ） ツイート

PR

関連記事

委託先が患者情報を紛失、防犯カメラに誤廃棄時の映像 - 頴田病院
個人情報含む書類をFAXで誤送信 - 栃木県住宅供給公社
個人情報含む生徒個人票を紛失 - 神奈川の中高一貫校
リサイクルされる「ランサムウェア」 - リーク件数は1.5倍に
都パスポートセンターの従業員が書類送検 - 個人情報記載の付箋を窃取
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を
水道局の制御機器を狙うサイバー攻撃が発生 - 米当局が注意喚起
個情委、野辺地町に行政指導 - 管理不備や報告遅滞で
VMware、「VCD Appliance」の修正パッチを公開 - ゼロデイ脆弱性に対応
設定不備でシステム開発用サーバから顧客情報が流出 - 積水ハウス