米国のCybersecurity and Infrastructure Security Agency(CISA)は、不正アクセスされたPulse Secureデバイスで発見された、ウイルス対策製品ではほとんど検出されない十数個のマルウェアサンプルに関する警告を発表しました。
少なくとも2020年6月以降、米国の政府機関、重要インフラストラクチャ事業体、様々な民間組織のPulse Secureデバイスが、攻撃者による攻撃の対象となっています。
敵対者は、複数の脆弱性(CVE-2019-11510、CVE-2020-8260、CVE-2020-8243、CVE-2021-2289)を活用して初期侵入を行い、バックドアアクセスのためにwebshellが配置されていました。
偽装されたWebshell
CISAは、感染したPulse Secureデバイスで発見された13個のマルウェアの解析レポートを公開しました。
Pulse Secureデバイスの管理者は、このレポートをチェックし、侵害の兆候を確認するとともに、攻撃者の戦術、技術、手順(TTPs)について確認することが推奨されています。
CISAが分析したファイルはすべて侵害されたPulse Connect Secureデバイスで発見されたもので、その中にはPulse Secureの正規スクリプトを修正したものもありました。
CISAが発見した、攻撃者によって改変された正規のPulse Secureファイルのリストには、以下のものも含まれています。
- licenseserverproto.cgi (STEADYPULSE)
- tnchcupdate.cgi
- ヘルスチェック.cgi
- compcheckjs.cgi
- DSUpgrade.pm.current
- DSUpgrade.pm.rollback
- clear_log.sh (THINBLOOD LogWiper Utility Variant)
- compcheckjava.cgi (ハードパルス)
- ミーティング_テストjs.cgi (SLIGHTPULSE)
上記のファイルの一部は、サイバーセキュリティ企業のMandiant社が調査したサイバー攻撃で悪意のある目的で改変されています。
別のケースでは、脅威行為者がPulse Secureのシステムファイルを改変し、ログインに成功したユーザーの認証情報を盗み、収集した情報はデバイス上の一時ディレクトリのファイルに保存されました。
同局は、以下のベストプラクティスに基づいてセキュリティ体制を強化することを推奨しています。
- アンチウイルスのシグネチャとエンジンを最新の状態に保つ。
- オペレーティングシステムのパッチを最新の状態に保つ。
- ファイルとプリンタの共有サービスを無効にする。これらのサービスが必要な場合は、強力なパスワードまたはActive Directory認証を使用する。
- ユーザが不要なソフトウェアをインストールしたり実行したりする権限を制限する。必要な場合を除き、ユーザーをローカル管理者グループに追加しない。
- 強力なパスワードポリシーを実施し、定期的なパスワード変更を行う。
- 電子メールの添付ファイルを開く際には、その添付ファイルが予想されるものであり、送信者が知られていると思われる場合でも、注意を払う。
- 機関のワークステーションでパーソナルファイアウォールを有効にし、迷惑な接続要求を拒否するように設定する。
- 政府機関のワークステーションおよびサーバ上の不要なサービスを無効にする。
- 疑わしい電子メールの添付ファイルをスキャンして削除する。スキャンした添付ファイルが「真のファイルタイプ」であることを確認する(拡張子がファイルヘッダと一致すること)。
- ユーザーのウェブ閲覧傾向を監視し、好ましくない内容のサイトへのアクセスを制限する。
- リムーバブルメディア(USBメモリ、外付けドライブ、CDなど)の使用に注意する。
- インターネットからダウンロードしたソフトウェアは、実行前にすべてスキャンする。
- 最新の脅威に対する状況認識を維持し、適切なアクセスコントロールリスト(ACL)を導入する。
- 万が一に備えて、システム所有者および管理者は、設定変更を適用する前にすべての設定を確認し、サイバー攻撃による影響を回避してください。
Comments