重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に

具体的には「wmic」「ntdsutil」「netsh」「PowerShell」などを悪用。正常な動作に見せかけて検出を回避しつつ潜伏して活動していた。

こうした活動は、デフォルト設定のままだとログに記録されないおそれがあり、コマンドラインによるプロセスの作成や「WMI」「PowerShell」によるイベントをログに記録するよう構成を見直す必要がある。

くわえて攻撃者は、ログを消去することで活動を隠蔽していた。ログの整合性や可用性を確保するには、ログ消去時のイベントをログとして記録して監視したり、サーバにログを転送するといった対策を推奨事項に挙げている。

厄介なことに攻撃者の用いたコマンドは、正規の業務で使用される可能性がある。アドバイザリの内容をもとに疑わしい活動を検知した場合も、攻撃であるか判断するには追加調査を行い、注意深く対応する必要がある。

またZohoの「ManageEngine ADSelfService Plus」における脆弱性「CVE-2021-40539」やFatPipe Networksの「FatPipe WARP」「同IPVPN｝「同MPVPN」の脆弱性「CVE-2021-27860」のほか、攻撃ではさまざまな脆弱性が悪用されていた。

（Security NEXT - 2023/06/01 ） ツイート

PR

関連記事

個人情報流出の可能性、生産や販売活動には影響なし - 村田製作所
2026年1Qのセキュリティ相談、「偽警告」相談が約1.5倍に
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加
利用者ページにサイバー攻撃、詳細を調査 - 消費者金融事業者
検針員宅に空き巣、金庫から検針機器が盗難 - 鹿児島市
医療機関関係者向けの感染症週報速報メールで誤送信 - 新潟県
Cisco製FWにバックドア「FIRESTARTER」 - 新手法で永続化、侵害確認を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ