国内狙う攻撃キャンペーン「Blotless」 - 再侵入防ぐ対策を
JPCERTコーディネーションセンターは、国内組織を標的とした攻撃キャンペーン「Blotless作戦」の対策を取りまとめ、注意喚起を行った。短期的な調査は難しい側面もあり、再度侵入を許さない中長期的な対策を呼びかけている。
同センターでは、2023年から国内組織において「現地調達型(Living off the Land)攻撃」を展開する「Blotless作戦」の動向を追跡。
同キャンペーンには、同一と特定できないものの、海外で攻撃が報告されている「Volt Typhoon」と同様の点も多く含まれており、「Volt Typhoon」と共通とされる攻撃活動を中心に、「LotL攻撃」への対策方法を取りまとめた。
「Volt Typhoon」は、政府機関や重要インフラ企業の侵入経路を確保することが目的と見られ、認証情報の窃取などが行われており、一般的なAPT攻撃において使用される「マルウェア」が用いられない点に特徴があると説明。
そのため、侵害状況の調査など短期的な対応においては、ドメインコントローラにおけるログ調査、ウェブサーバおよびネットワーク機器におけるウェブシェル、リバースプロキシの有無、VPN機器におけるログやアカウント状況、「Powershell」の実行内容の調査などが推奨調査項目に挙がっている。
(Security NEXT - 2024/06/26 )
ツイート
PR
関連記事
「Cisco Unified CM」のSSRF脆弱性、悪用に注意
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
サポート詐欺でPC遠隔操作、情報流出を調査 - 東北文化学園大
システムの登録ユーザー情報、ユーザー間で閲覧可能に - コマツ
児童情報を全認定こども園にメール誤送信 - 八王子市
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を

