ランサムウェア「Play」に警戒を - 米豪当局が注意喚起
ランサムウェア「Play」の攻撃グループは、何らかの方法で入手した有効なアカウント情報や既知の脆弱性を狙って初期侵入を行っている。
具体的には、「FortiOS」において過去に明らかとなっている脆弱性「CVE-2018-13379」「CVE-2020-12812」や、別名「ProxyNotShell」としても知られる「Microsoft Exchange」の脆弱性「CVE-2022-41040」「CVE-2022-41082」などを悪用。
侵入後は、「Active Directory」においてクエリを実行して情報収集を行うほか、マルウェア対策ソフトの無効化なども行っており、「Microsoft Defender」などもPowerShellスクリプトを用いて停止させられていた。
さらに「Mimikatz」を使用して認証情報の窃取なども行い、組織内におけるラテラルムーブメントを展開。データを外部に転送するとともに暗号化を行う。
アドバイザリでは、攻撃者が利用するツールや攻撃手法を一覧として取りまとめるとともに、関連ファイルのハッシュ値など「IoC(Indicators of Compromise)」などを提供している。
同ランサムウェアによる被害の軽減に向けて、利用するソフトウェアをすべて最新の状態に保ち、多要素認証の利用、ネットワークのセグメント化や監視、オフラインによるデータのバックアップ、復旧計画の策定など対策を講じるよう呼びかけている。
(Security NEXT - 2023/12/21 )
ツイート
PR
関連記事
「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起
小学校で個別書類あると気づかず身体測定結果を誤配布 - 名古屋市
個人情報含むファイルを県内自治体に誤送信 - 静岡県
廃棄物運搬事業者への事務連絡メールで誤送信 - 横須賀市
Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出
開発言語「R」のデシリアライズ処理に脆弱性 - 修正版へ更新を
保守委託先で顧客情報含むHDDが所在不明 - はばたき信組
サポート詐欺被害で情報流出の可能性 - 高齢・障害・求職者雇用支援機構
「改訂新版セキュリティエンジニアの教科書」が発売 - 日本シーサート協議会
QNAP製NASやアドオンに脆弱性 - 旧アドバイザリも更新、影響大きい脆弱性を追加
