Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か
「UNC5337」は、2024年1月以降、認証バイパスの脆弱性「CVE-2023-46805」やコマンドインジェクションの脆弱性「CVE-2024-21887」を悪用して「Ivanti Connect Secure」を侵害する活動を展開している。また「UNC5221」も2023年12月以降、同様の活動を展開していた。
また別のアプライアンスでは、アプライアンス内のコンポーネントを改ざんするシェルスクリプトベースのドロッパー「PHASEJAM」が確認された。
ウェブシェルを挿入し、任意のコマンドを実行できるようにファイルを上書きしたり、アップグレードを妨害する機能などを備える。さらにログを削除することでフォレンジック調査を妨害していた。
またPythonスクリプトベースのマルウェア「DRYHOOK」を悪用。システムコンポーネントを改ざんし、資格情報を窃取する。
「PHASEJAM」「DRYHOOK」については、今回の攻撃ではじめて確認されたマルウェアであり、既知の攻撃グループとの関係はわかっていない。
(Security NEXT - 2025/01/09 )
ツイート
関連リンク
PR
関連記事
サイトが改ざん被害、情報流出を確認 - 自立支援のNPO法人
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能
NICTがシンポジウム開催 - 研究報告や女性活躍のパネルも
「PandasAI」にプロンプトインジェクションの脆弱性
フィッシング被害者のアカウントがさらなる攻撃の踏み台に - 東京外大
ランサム攻撃グループ「8Base」関係者が逮捕 - 400社以上が標的
NVIDIA、アドバイザリ4件を公開 - 複数製品の脆弱性を解消
米当局、悪用が確認されている脆弱性6件に注意喚起
Ivanti、アドバイザリ3件を公開 - 深刻な脆弱性などへ対処
IvantiのVPNやアクセス制御製品に複数の脆弱性 - 「クリティカル」も