MITRE Corporationによると、2024年1月、国家に支援されたハッキング・グループが、2つのIvanti VPNゼロデイを連鎖させることによって、同社のシステムに侵入した。
この事件は、MITRE の Networked Experimentation, Research, and Virtualization Environment (NERVE)(研究開発に使用される非機密共同ネットワーク)上で不審な動きが検出されたことから発覚した。
MITREはその後、影響を受ける関係者に侵害を通知し、関係当局に連絡し、現在 “運用代替手段 “の復旧に取り組んでいる。
これまでの調査で収集された証拠によると、この侵害は組織の中核となる企業ネットワークやパートナーのシステムには影響を及ぼしていない。
「可能な限り最高のサイバーセキュリティを維持しようと努めている組織であっても、この種のサイバー攻撃から免れることはできません。
「我々は、公共の利益のために活動し、企業のセキュリティを強化するベストプラクティスを提唱し、業界の現在のサイバー防衛態勢を改善するために必要な措置を講じることを約束するため、このインシデントをタイムリーに開示しています。
MITREのCTOであるCharles ClancyとCybersecurity EngineerのLex Crumptonも別の勧告で、脅威者は2つのIvanti Connect Secureのゼロデイを連鎖させることで、MITREの仮想プライベートネットワーク(VPN)の1つを侵害したと説明しています。
また、セッション・ハイジャックを使用することで、多要素認証(MFA)防御を回避することができ、ハイジャックされた管理者アカウントを使用して、侵入したネットワークのVMwareインフラストラクチャを横方向に移動することができました。
このインシデントを通じて、ハッカーは洗練されたウェブシェルとバックドアを組み合わせて使用し、ハッキングされたシステムへのアクセスを維持し、認証情報を取得しました。
12月上旬以降、認証バイパス(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)という2つのセキュリティ脆弱性が悪用され、スパイ目的で複数のマルウェア・ファミリーが展開されています。
Mandiantは、これらの攻撃をUNC5221として追跡している高度持続的脅威(APT)に関連付け、Volexityは、中国の国家に支援された脅威アクターが2つのゼロデイを悪用している兆候を見たと報告しています。
Volexityによると、中国のハッカーは2,100台以上のIvantiアプライアンスをバックドアし、侵入したネットワークからアカウントとセッションのデータを採取して盗んでいました。被害者の規模は、中小企業から、様々な業界のフォーチュン500社を含む世界最大級の組織まで、多岐にわたった。
大量に悪用され、攻撃対象が広大であったため、CISAは1月19日に今年最初の緊急指令を発表し、連邦政府機関にIvantiのゼロデイを直ちに緩和するよう命じました。
Comments