2021年3月6日から12日までのセキュリティインシデントの概要

2021/03/14 セキュリティーニュース
logo

過去1週間、Microsoft Exchangeサーバーへの攻撃についての見出しが猛威を振るっています。これは、SolarWindsサプライチェーン攻撃の規模と影響を上回ったインシデントです。2021年3月6日から12日までに発生したサイバー攻撃についてご一読ください。

MicrosoftExchangeサーバーへの攻撃

サイバー犯罪者が世界中のMicrosoftExchangeサーバーを大規模に攻撃する現在のハッキング操作は、1週間で非常に大きくなり、政府のハッカーと経済サイバー犯罪者の両方が参加しました。攻撃者は、Microsoftが先週緊急にパッチを適用した4つのProxyLogonの脆弱性を介してMicrosoftExchangeサーバーを攻撃します。これらの脆弱性を組み合わせて悪用すると、攻撃者は管理者権限でサーバーにログインし、マルウェアをインストールできます。

とりわけ、Microsoft Exchangeに対するサイバー攻撃の犠牲者には、欧州銀行監督局(EBA)とノルウェー議会が含まれていました。この脆弱性はEBAメールサーバーに関連しているため、攻撃者はおそらく電子メールを介して機密情報にアクセスされる可能性があります。

ノルウェー議会によると、サイバー攻撃の規模はまだ不明です。事件が発見された後、必要なすべての措置が講じられ、現在、法執行機関との調査が進行中です。調査のこの段階で判明したように、サイバー攻撃の結果としてデータ漏洩が発生しました。

専門家によると、Microsoft Exchangeの脆弱性を使用した攻撃は、世界中の6万を超える組織に影響を与える可能性があります。

ProxyLogonの脆弱性に対する攻撃

3月初旬、ProxyLogonの脆弱性が、中国政府で働くHafniumAPTグループによって積極的に悪用されていることが判明しました。その後、中国のグループAPT27、ブロンズバトラー/ティック、カリプソが脆弱性を利用し始めました。現在、それらに加えて、Winntiグループ、Tontoチーム、Mikroceenグループ、および最近発見されたWebsiicマルウェアキャンペーンにも脆弱性が装備されていることが判明しました。

サプライチェーンへの攻撃

Exchangeサーバーへの攻撃は、SolarWindsサプライチェーンへの攻撃に影を落としていますが、セキュリティ研究者は調査を続けています。 2020年12月、SolarWindsのハッキングが知られるようになったとき、Microsoftの専門家は、SolarWinds Orionプラットフォームのローカルインストールを攻撃し、サプライチェーンへの攻撃とは関係のない2番目のサイバー犯罪グループについて警告しました。
現在、専門家は、このグループがスパイラルであり、中国と関係があるとされていることを立証することができました。米国政府がロシアを非難するSolarWindsサプライチェーンへの攻撃に対応して、ジョー・バイデン大統領の政権は、ロシアに対する新たな経済制裁とサイバー攻撃に取り組んでいます。
ホワイトハウスの関係者によると、モスクワの違法行為に対する両方の対応は、「今後3週間以内に」同時に実行される予定です。
 

ランサムウェア攻撃

前述のサイバー攻撃に加えて、ランサムウェア攻撃は伝統的に関与してきました。たとえば、スペイン政府は、政府の失業手当を管理および支払うServicioPúblicodeEmpleoEstatal(SEPE)のITシステムを破壊したRyukランサムウェア攻撃の犠牲者でした。この事件はサーバーシステムと政府の公開ウェブサイトに影響を及ぼしました。スペイン全土の710のオフィスのSEPEスタッフは、中央システムへのアクセスがブロックされた後、失業の予定をキャンセルして再スケジュールする必要がありました。攻撃の結果、52のセルフサービステレマティクスシステムも損傷を受けました。

ボットネットz0Miner

知られるようになったので、昨年発見されたボットネットz0Minerは、Monero(XMR)暗号通貨をマイニングするためにJenkinsサーバーとElasticSearchサーバーを攻撃します。暗号通貨をマイニングするためのz0Minerマルウェアは昨年11月に発見されました。マイナーは、Oracle WebLogic(CVE-2020-14882およびCVE-2020-14883)の脆弱性を介してサーバーをハッキングすることにより、数千のサーバーに感染しました。ただし、Qihoo360のNetworkSecurity Research Labからの新しいレポートによると、マルウェアは2015年以前にパッチが適用された脆弱性を悪用しようとし始めました。
特に、ボットネットはElasticSearchのリモートコード実行の脆弱性とJenkinsの古い脆弱性を悪用しようとしています。

サイバー犯罪グループFIN8による攻撃

1年半の休止の後、サイバー犯罪グループFIN8は悪意のある活動を再開し、より強力なバージョンのBADHATCHバックドアで戻ってきました。バックドアには、画面キャプチャ、プロキシトンネリング、資格情報の盗難、ファイルレス実行などの高度な機能があります。新しい悪意のあるキャンペーンは、保険会社や小売企業だけでなく、米国、カナダ、南アフリカ、プエルトリコ、パナマ、イタリアのテクノロジーおよび化学産業を対象としています。

Microsoft Office365ユーザーへのフィッシングメール

サイバー犯罪者は、資格情報を盗むための進行中の悪意のあるキャンペーンの一環として、Microsoft Office365ユーザーに何千ものフィッシングメールを送信しています。攻撃者は、偽のGoogle reCAPTCHAシステムと、被害者の会社のロゴを表示するトップレベルドメインのランディングページを使用して、キャンペーンに正当性を与えます。

まとめ

MicrosoftExchangeサーバーへの攻撃は始まったばかりですが、早急に対応すべき脆弱性です。企業ネットワークへの足がかりを得るのに悪用されています。このアクセスを通じて標的のネットワークからデータを盗み出します。アメリカへの攻撃がニュースで取り沙汰されていますが、全世界の組織への攻撃が報告されています。