Russian hackers

米国と英国のサイバー機関は本日、ロシアの対外情報庁(SVR)に関連する APT29 ハッカーが、脆弱性のある Zimbra と JetBrains TeamCity サーバを「大規模に」標的にしていると警告した。

NSA、FBI、米サイバー司令部のサイバー国家任務部隊(CNMF)、英国の NCSC による共同勧告は、ネットワーク防御者に対し、これらの進行中の攻撃をブロックするために、露出したサーバーにパッチを当てるよう警告している。

4つのサイバー機関によると、このハッキング・グループは、CVE-2022-27924およびCVE-2023-42793のエクスプロイトを使用して、オンラインで公開されているパッチ未適用のZimbraおよびTeamCityサーバを「世界中のさまざまな分野の被害者を標的にするために大規模に」標的としています。

CVE-2022-27924は、少なくとも2022年8月以降、パッチが適用されていないZimbra Collaborationインスタンスから電子メールアカウントの認証情報を盗むために悪用されており、CVE-2023-42793は、ランサムウェアギャングと 北朝鮮のハッキンググループの両方によって、初期アクセスとサプライチェーン攻撃の試みのために悪用されていました。

「SVRサイバー行為者のTTPと過去の標的設定に基づき、作成機関は、初期アクセス、リモートコード実行、権限昇格のために追加のCVEを悪用する能力と関心を持っていると評価しています

この勧告では、過去6年間に公開され、修正された20の脆弱性をリストアップし、セキュリティ侵害を防ぐためにセキュリティパッチを展開し、緩和策を適用するよう防御者に求めている。

APT29 joint advisory

Cozy Bear、Midnight Blizzard(旧Nobelium)、Dukesとしても追跡されているこのSVRハッキング・グループは、何年にもわたり、米国とヨーロッパの政府機関や民間組織を標的にしてきた。

NSA、FBI、CISAは3年以上前の2021年4月、APT29のハッカーたちが仕組んだ ソーラーウィンズのサプライチェーン攻撃を受けて複数の米連邦政府機関に侵入した後、同様の勧告を出した

彼らはまた、NATO諸国のMicrosoft 365アカウントに侵入して外交政策関連データを盗み、2023年11月にはマイクロソフト幹部や他の企業のExchange Onlineアカウントに侵入した

さらに最近では、ファイブ・アイズ(FVEY)情報同盟が2月に、APT29が潜在的な被害者のクラウド・サービスも標的にし始めたと警告している。

「NSAサイバーセキュリティ・ディレクターのデイブ・ルーバーは、「このような活動は、政府機関や民間企業に対する世界的な脅威であり、パッチの優先適用やソフトウェアを最新の状態に保つなど、セキュリティ管理の徹底的な見直しが必要です。

「我々の更新されたガイダンスは、ネットワーク防衛者がこれらの侵入を検知し、システムの安全性を確保するための措置を講じるのに役立つだろう。