APT28による脆弱性CVE-2017-6742を悪用したシスコ製ルーターへの攻撃について、米CISAなどが注意喚起

akamatsu

2023.04.19

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月19日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

APT28が既知の脆弱性を悪用し、シスコ製ルーターにおいて偵察とマルウェアの展開を実施（CVE-2017-6742）

CISA Current Activity – Apr 18 2023 12:00

APT28による、脆弱性CVE-2017-6742を悪用したシスコ製ルーターへの攻撃について、英国NCSC、米NSA、CISA、FBIが共同アドバイザリを公開し、2021年に行われたAPT28の攻撃に関連する詳しい戦術、技術、手順（TTP）を提供した。APT28はFancy Bear、STRONTIUM、Pawn Stormといった名称でも知られ、その正体はおそらく、ロシア軍参謀本部情報総局（GRU）に属する第85特殊技術総センター（GTsSS）の軍事諜報部隊26165だろうと考えられている。

アドバイザリによれば、APT28は2021年、SNMPおよびSNMPの処理に関する脆弱性CVE-2017-6742を利用し、世界中のシスコ製ルーターにアクセスしていたという。標的となったのはヨーロッパの少数の組織、米国の複数の政府機関、およびウクライナの250の被害者だった。なおCVE-2017-6742は2017年6月29日に初めてシスコによって公表された古い脆弱性で、パッチ適用済みのソフトウェアがすでに利用可能となっている。

APT28がこれらの攻撃で展開していたのは「Jaguar Tooth」と名付けられたマルウェア。Jaguar Toothは侵害されたデバイスからさらなる情報を入手し、それをTFTP経由で抜き取っていたという。また同マルウェアによりバックドアが設置され、認証なしでのアクセスが可能な状態となっていた。

英米政府は、このアドバイザリ内で説明されているTTPが今なお脆弱なシスコ製デバイスに対して使われている可能性があるとして注意を呼びかけるとともに、緩和策も提供している。

GitHubリポジトリのテイクダウンにより、RedLineマルウェアのオペレーションが妨害される

Security Week – Apr 18 2023 16:09

情報窃取型マルウェア「RedLine」のコントロールパネルによって利用されるGitHubリポジトリがテイクダウンされた後、同マルウェアのオペレーションが停止されたことを、ESETが報告した。

RedLineは遅くとも2020年初頭から存在するコモディティマルウェアで、広範なデータ抜き取り性能を有しており、「スティーラー・アズ・ア・サービス」形式でアンダーグラウンドフォーラムやTelegramチャンネルにて販売されている。

ESETは、SaaSプラットフォームプロバイダーのFlareとともに、RedLineのコントロールパネルが4つのGitHubリポジトリをデッドドロップリゾルバとして利用しているのを発見。報告を受けたGitHubは当該リポジトリを停止したため、RedLineスティーラーのオペレーションも妨害されたという。

ESETは、この措置によって「実際のバックエンドサーバーが影響を受けることはない」としながらも、「RedLineの運営者は顧客に新しいパネルを配布することを余儀なくされるだろう」、と述べている。

APT41、標的型の情報窃取攻撃でGoogleのレッドチームツールを利用

Dark Reading – Apr 18 2023 17:58

中国関連グループAPT41が、標準的なオープンソースのペネトレーションテストツール「Google Command and Control (GC2)」を使って台湾のメディア組織やイタリアの求職系サイトを標的にしていたという。

APT41はHOODOO、Winnti、Bronze Atlasといった名称でも知られ、これまでにもさまざまな標的を狙ってきた。これには、政府、ハイテクメーカー、電気通信事業者、航空関連組織、NGOのほか、中国の政治的・経済的利益と合致するターゲットが含まれる。

Googleの脅威分析チーム「Threat Analysis Group (TAG)」によれば、APT41は最近、フィッシングメールを使って台湾のメディア組織を標的にしたという。このメールにはリンクが複数含まれており、これらはDrive内でホストされるパスワードで保護されたファイルへと繋がっていた。そしてこのファイルが開かれたあと、GC2のペイロードが呼び出されたという。

GC2ツールはコマンドをGoogle Sheetsから取得（おそらく、悪意ある活動を隠して検出を回避するため）して、データをGoogle Driveへと抽出する。また同ツールにより、Drive内から被害者のシステムへとさらなるファイルをダウンロードすることも可能になるという。GC2は、昨年7月のイタリアの求人検索サイトへの攻撃でも使われていた。

TAGによると、APT41は現在、Cobalt Strikeなどの正規ツールを使う方向へと戦術を変えてきており、また、その意図や活動を隠すためにクラウドサービスも利用するようになってきているとのこと。

2023年4月19日

ハイライト

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。