画像: 旅の途中
国家支援のハッカー集団が、ZohoとFortinetの重大な脆弱性を狙ったエクスプロイトを利用して米国の航空組織に侵入したことが、CISA、FBI、米国サイバー軍(USCYBERCOM)が木曜日に発表した共同勧告で明らかになった。
この侵害の背後にある脅威グループの名前はまだ明らかにされていませんが、共同勧告では攻撃者を特定の国家と関連付けていませんでしたが、USCYBERCOMのプレスリリースでは悪意のある攻撃者をイランの搾取活動と関連付けています。
CISAは2月から4月にかけてのインシデント対応に参加しており、ハッカーグループはZoho ManageEngine ServiceDesk Plusとフォーティネットファイアウォールを実行しているインターネットに公開されたサーバーをハッキングした後、少なくとも1月から侵害された航空組織のネットワークに侵入していたと述べた。
「CISA、FBI、CNMFは、国家規模のAPT(Advanced Persistent Threat)攻撃者がCVE-2022-47966を悪用して、公開アプリケーション(Zoho ManageEngine ServiceDesk Plus)への不正アクセスを取得し、永続性を確立し、ネットワーク内を横方向に移動していることを確認しました。ネットワーク」と勧告には書かれています。
「この脆弱性により、ManageEngine アプリケーションでリモート コードが実行される可能性があります。追加の APT アクターが CVE-2022-42475 を悪用して組織のファイアウォール デバイス上で存在を確立することも観察されました。」
米国の 3 つの政府機関が警告しているように、これらの脅威グループは、重大かつ悪用されやすいセキュリティ バグに対するパッチが適用されていないインターネットに接続されたデバイスの脆弱性を頻繁にスキャンしています。
攻撃者は、ターゲットのネットワークに侵入した後、ハッキングされたネットワーク インフラストラクチャ コンポーネント上で持続性を維持します。これらのネットワーク デバイスは、被害者のネットワーク内で横方向への移動の踏み台として、悪意のあるインフラストラクチャとして、またはその両方の組み合わせとして使用される可能性があります。
ネットワーク防御者は、インフラストラクチャを保護するために、今日の勧告および NSA 推奨のベスト プラクティス内で共有されている緩和策を適用することをお勧めします。
これには、悪用された既知のすべての脆弱性からすべてのシステムを保護すること、リモート アクセス ソフトウェアの不正使用を監視すること、不要な (無効な) アカウントとグループ (特に特権アカウント) を削除することが含まれますが、これらに限定されません。
システムを保護するための以前の攻撃と警告
CISA は、概念実証 (PoC) エクスプロイト コードがオンラインで公開された後、オンラインに公開されたパッチが適用されていない ManageEngine インスタンスをリバース シェルを開くために脅威アクターがターゲットになり始めた数日後の 1 月に、CVE-2022-47966 エクスプロイトに対してシステムを保護するよう連邦政府機関に命令しました。
CISAの警告から数カ月後、北朝鮮のLazarusハッキンググループもZohoの欠陥を悪用し始め、 医療機関やインターネットバックボーンインフラプロバイダーへの侵入に成功した。
FBI と CISA は、ManageEngine の欠陥を悪用して金融サービスや医療などの重要なインフラをターゲットにする国家支援グループに関して、他にも複数の警告を発しました ( 1 、 2 )。
Fortinet が 1 月に明らかにしたように、CVE-2022-42475 FortiOS SSL-VPN 脆弱性は、政府機関および関連ターゲットに対するゼロデイ攻撃としても悪用されました。
フォーティネットはまた、攻撃中に追加の悪意のあるペイロードが侵害されたデバイスにダウンロードされたが、ペイロードは分析のために取得できなかったと警告した。
顧客に対し、進行中の攻撃に対してアプライアンスにパッチを適用するよう初めて促されたのは、フォーティネットが 11 月 28 日に、すでに悪用されているという情報を公開せずにひっそりとバグを修正した後、12 月中旬でした。
Comments