重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に

具体的には「wmic」「ntdsutil」「netsh」「PowerShell」などを悪用。正常な動作に見せかけて検出を回避しつつ潜伏して活動していた。

こうした活動は、デフォルト設定のままだとログに記録されないおそれがあり、コマンドラインによるプロセスの作成や「WMI」「PowerShell」によるイベントをログに記録するよう構成を見直す必要がある。

くわえて攻撃者は、ログを消去することで活動を隠蔽していた。ログの整合性や可用性を確保するには、ログ消去時のイベントをログとして記録して監視したり、サーバにログを転送するといった対策を推奨事項に挙げている。

厄介なことに攻撃者の用いたコマンドは、正規の業務で使用される可能性がある。アドバイザリの内容をもとに疑わしい活動を検知した場合も、攻撃であるか判断するには追加調査を行い、注意深く対応する必要がある。

またZohoの「ManageEngine ADSelfService Plus」における脆弱性「CVE-2021-40539」やFatPipe Networksの「FatPipe WARP」「同IPVPN｝「同MPVPN」の脆弱性「CVE-2021-27860」のほか、攻撃ではさまざまな脆弱性が悪用されていた。

（Security NEXT - 2023/06/01 ） ツイート

PR

関連記事

電子カルテシステムがランサム被害、個人情報が流出 - 静岡県の病院
歯科衛生士転職サイトに不正ファイル - 影響などを調査
SAP、3月の月例パッチを公開 - 「Log4j」起因の脆弱性も
「WordPress 6.9.2」が公開 - 複数の脆弱性を解消
「Firefox」に複数の脆弱性 - セキュリティアップデートを公開
MS、3月の月例パッチを公開 - 脆弱性79件に対処
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開
「Ivanti DSM」に権限昇格の脆弱性 - アップデートで修正
DDoS攻撃で一時サイトが閲覧しづらい状態に - 日本産業衛生学会
投票所へバイクで移動中、個人情報含む書類を紛失 - 高槻市