ランサムウェア「Play」に警戒を - 米豪当局が注意喚起
ランサムウェア「Play」の攻撃グループは、何らかの方法で入手した有効なアカウント情報や既知の脆弱性を狙って初期侵入を行っている。
具体的には、「FortiOS」において過去に明らかとなっている脆弱性「CVE-2018-13379」「CVE-2020-12812」や、別名「ProxyNotShell」としても知られる「Microsoft Exchange」の脆弱性「CVE-2022-41040」「CVE-2022-41082」などを悪用。
侵入後は、「Active Directory」においてクエリを実行して情報収集を行うほか、マルウェア対策ソフトの無効化なども行っており、「Microsoft Defender」などもPowerShellスクリプトを用いて停止させられていた。
さらに「Mimikatz」を使用して認証情報の窃取なども行い、組織内におけるラテラルムーブメントを展開。データを外部に転送するとともに暗号化を行う。
アドバイザリでは、攻撃者が利用するツールや攻撃手法を一覧として取りまとめるとともに、関連ファイルのハッシュ値など「IoC(Indicators of Compromise)」などを提供している。
同ランサムウェアによる被害の軽減に向けて、利用するソフトウェアをすべて最新の状態に保ち、多要素認証の利用、ネットワークのセグメント化や監視、オフラインによるデータのバックアップ、復旧計画の策定など対策を講じるよう呼びかけている。
(Security NEXT - 2023/12/21 )
ツイート
PR
関連記事
保険料の架空請求メール出回る - 電子決済アプリ誘導に警戒を
一部利用者で不正ログイン、注意を喚起 - 時事通信フォト
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「第一生命」かたるフィッシングメールに注意 - 「5000円相当プレゼント」と誘導
従業員メルアカが不正利用、取引先へ不審メール - トーホー
ランサムウェア被害を確認、詳細は調査中 - FA機器開発会社
委託先で顧客情報流出、無断転用のファイルに残存 - GMOあおぞら銀
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供
SAP、月例セキュリティアドバイザリ19件を公開 - 「クリティカル」も
