重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に

具体的には「wmic」「ntdsutil」「netsh」「PowerShell」などを悪用。正常な動作に見せかけて検出を回避しつつ潜伏して活動していた。

こうした活動は、デフォルト設定のままだとログに記録されないおそれがあり、コマンドラインによるプロセスの作成や「WMI」「PowerShell」によるイベントをログに記録するよう構成を見直す必要がある。

くわえて攻撃者は、ログを消去することで活動を隠蔽していた。ログの整合性や可用性を確保するには、ログ消去時のイベントをログとして記録して監視したり、サーバにログを転送するといった対策を推奨事項に挙げている。

厄介なことに攻撃者の用いたコマンドは、正規の業務で使用される可能性がある。アドバイザリの内容をもとに疑わしい活動を検知した場合も、攻撃であるか判断するには追加調査を行い、注意深く対応する必要がある。

またZohoの「ManageEngine ADSelfService Plus」における脆弱性「CVE-2021-40539」やFatPipe Networksの「FatPipe WARP」「同IPVPN｝「同MPVPN」の脆弱性「CVE-2021-27860」のほか、攻撃ではさまざまな脆弱性が悪用されていた。

（Security NEXT - 2023/06/01 ） ツイート

PR

関連記事

全校生徒の名簿データを第三者へメール誤送信 - 大洲市
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
物流検品システムなどまもなく復旧、物量制限は解除へ - ランテック
コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
ランサムでシステム障害、配送遅延など影響 - センコーグループ子会社
職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
スポーツグッズ通販サイトで個人情報流出か - 不正プログラムや改ざんを確認
ランサム攻撃で暗号化被害、公共工事のデータも - 松永建設
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開