Microsoft

Microsoft は本日、2005 年以降廃止された Web サーバーに影響を与えることが判明したセキュリティの脆弱性が、エネルギー部門の組織を標的にして侵害するために使用されていると発表しました。

サイバーセキュリティ会社のレコーデッド フューチャーが 4 月に発表したレポートで明らかにしたように、国家支援の中国のハッキング グループ (RedEcho として追跡されたものを含む) は複数のインドの送電網オペレーターを標的にし、インドの国家緊急対応システムと多国籍物流会社の子会社を侵害しました。

攻撃者は、ネットワーク上のインターネットに公開されたカメラを介して、ハッキングされたエンティティの内部ネットワークへのアクセスをコマンド アンド コントロール サーバーとして取得しました。

レコーデッド・フューチャーは、「電力網資産の標的化に加えて、同じ脅威活動グループによる国家緊急対応システムと多国籍物流会社のインド子会社の侵害も特定した」 と述べた。

「これを達成するために、このグループは、インターネットに接続された DVR/IP カメラ デバイスを侵害して、Shadowpad マルウェア感染のコマンド アンド コントロール (C2) と、オープン ソース ツールFastReverseProxyを使用するために利用した可能性があります」

Boa Web サーバーの欠陥に関連する攻撃

Recorded Future は攻撃ベクトルを拡大しませんでしたが、Microsoft は本日、攻撃者が Boa Web サーバーの脆弱なコンポーネントを悪用したと発表しました。Boa Web サーバーは、2015 年以降廃止されたソフトウェア ソリューションであり、IoT デバイス (ルーターからカメラまで) でまだ使用されています。

IoT デバイスの管理コンソールにサインインしてアクセスするために使用されるコンポーネントの 1 つである Boa は、脆弱な Web サーバーを実行している脆弱なインターネットに公開されたデバイスを介して、重要なインフラストラクチャが侵害されるリスクを大幅に高めます。

Microsoft Security Threat Intelligence チームは本日、Boa サーバーが IoT デバイス全体に普及しているのは、主に一般的なソフトウェア開発キット (SDK) に Web サーバーが含まれているためだと述べました。

Microsoft Defender Threat Intelligence プラットフォームのデータによると、インターネットに公開された 100 万を超える Boa サーバー コンポーネントが、世界中で 1 週間以内にオンラインで検出されました。

世界中の露出したBoaサーバー
世界中の公開された Boa サーバー (Microsoft)

「Boa サーバーは、任意のファイル アクセス ( CVE-2017-9833 ) や情報漏えい ( CVE-2021-33558 ) など、いくつかの既知の脆弱性の影響を受けています」と Microsoft Security Threat Intelligence チームは述べています。

「マイクロソフトは、リリースされたレポートの期間を超えて攻撃者が Boa の脆弱性を悪用しようとしているのを引き続き確認しており、Boa が依然として攻撃ベクトルとして標的にされていることを示しています。」

攻撃者は、標的のサーバー上の機密情報を含むファイルにアクセスして資格情報を盗んだ後、認証を必要とせずにこれらのセキュリティ上の欠陥を悪用してリモートでコードを実行できます。

Boa Web サーバーの脆弱性を利用した Tata Power の侵害

マイクロソフトが観測したこれらの脆弱性を悪用した最新の攻撃の 1 つで、先月、Hive ランサムウェアがインド最大の総合電力会社である Tata Power をハッキングしました。

レドモンド氏は、「記録された未来のレポートで詳述されている攻撃は、2020 年以降のインドの重要インフラへの侵入の試みの 1 つであり、IT 資産への最新の攻撃は 2022 年 10 月に確認されました」と述べています。

「マイクロソフトは、レポートのリリース時にレコーデッド フューチャーが公開した IOC のリストにある IP アドレスで Boa サーバーが実行されていたこと、および電力網への攻撃が Boa を実行している公開された IoT デバイスを標的にしていたことを評価しています。」

Tata Power は、10 月 14 日の株式提出書類で、「一部の IT システムに影響を与える IT インフラストラクチャ」に対するサイバー攻撃を明らかにしましたが、事件の背後にある脅威アクターに関する詳細は明らかにしていません。

Hive ランサムウェア ギャングは後に、身代金交渉が失敗したことを示す、Tata Power のネットワークから盗んだと主張するデータを投稿しました。