重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に

具体的には「wmic」「ntdsutil」「netsh」「PowerShell」などを悪用。正常な動作に見せかけて検出を回避しつつ潜伏して活動していた。

こうした活動は、デフォルト設定のままだとログに記録されないおそれがあり、コマンドラインによるプロセスの作成や「WMI」「PowerShell」によるイベントをログに記録するよう構成を見直す必要がある。

くわえて攻撃者は、ログを消去することで活動を隠蔽していた。ログの整合性や可用性を確保するには、ログ消去時のイベントをログとして記録して監視したり、サーバにログを転送するといった対策を推奨事項に挙げている。

厄介なことに攻撃者の用いたコマンドは、正規の業務で使用される可能性がある。アドバイザリの内容をもとに疑わしい活動を検知した場合も、攻撃であるか判断するには追加調査を行い、注意深く対応する必要がある。

またZohoの「ManageEngine ADSelfService Plus」における脆弱性「CVE-2021-40539」やFatPipe Networksの「FatPipe WARP」「同IPVPN｝「同MPVPN」の脆弱性「CVE-2021-27860」のほか、攻撃ではさまざまな脆弱性が悪用されていた。

（Security NEXT - 2023/06/01 ） ツイート

PR

関連記事

Google、「Chrome 139」をリリース - AIが発見した脆弱性を修正
「Firefox 142」を公開 - 9件の脆弱性を解消
中学PTA議決資料が閲覧可能に、クラウドで設定ミス - 奈良市
緑地管理者がボランティア宛てメールを「CC」送信 - 名古屋市
旧保育所に不法侵入、建物内部に個人情報 - 北見市
マイナンバー文書を誤廃棄、保存期限の設定ミスで - 上三川町
「VMware Tanzu for Valkey」の脆弱性を修正 - 「クリティカル」も
「PostgreSQL」にセキュリティアップデート - 「13系」は11月にEOL
米当局、「Trend Micro Apex One」に対する脆弱性攻撃に注意喚起
「Flowise」に深刻な脆弱性、パッチは未提供 - PoCが公開