2月28日: サイバーセキュリティ関連ニュース
ロシアハッカーAPT28、Ubiquiti製ルーターを乗っ取りステルス性の高い攻撃を実施
BleepingComputer – February 27, 2024
ロシアの国家支援型脅威アクターAPT28(Fancy Bear)がサイバースパイ作戦において検出回避のためにUbiquiti製ルーターEdgeRoutersを利用していると、FBIなどの米当局が注意喚起。APT28はロシア軍参謀本部情報総局(GRU)配下の軍事部隊Unit 26165としても知られるハッキンググループで、これまでに複数の重大なサイバー攻撃に関与してきた。
FBI、NSA、米軍サイバーコマンドおよび各国のパートナーが27日に共同で公開したアドバイザリには、APT28がMoobotマルウェアに感染済みのEdgeRoutersを利用して広範なボットネットを構築し、認証情報の窃取、NTLMv2のダイジェストの収集、有害トラフィックのプロキシといった用途で活用していることが記されている。また同ルーター製品は、世界各地の軍、政府、その他組織を狙った密かなサイバー作戦において、カスタムツールやフィッシングページをホストするという目的でも利用されているという。
EdgeRoutersはデフォルトの認証情報のまま出荷されることが多く、ファイアウォールを備えていないことも多いとされる。その上、利用者の側で設定しない限り、ファームウェアの自動更新は行われない。同ルーターは使い勝手の良さやLinuxベースのOSにより消費者から人気を集める製品だが、同様に脅威アクターにも好まれているのだという。
米国および他国のパートナーは今月初めにAPT28が使用していたMoobotボットネットを妨害する取り組みを行っている。しかし、この試みを長期的に成功させ、同様の侵害に対処できるようにするため、EdgeRoutersのようなSOHOデバイスの所有者には以下のような緩和措置を講じることが求められている。
- 工場出荷時の状態へのハードウェアリセットを行い、ファイルシステムから悪意のあるファイルを削除する。
- 最新のファームウェアバージョンにアップグレードする。
- デフォルトのユーザー名とパスワードを変更する。
- WAN側インターフェースに戦略的なファイアウォールルールを導入し、リモート管理サービスへの不要な露出を防止する。
ScreenConnectの脆弱性をBlack BastaとBl00dyランサムウェアが悪用(CVE-2024-1709、CVE-2024-1708)
SecurityWeek – February 27, 2024
既にアクターたちによる悪用が確認されているConnectWise ScreenConnectの脆弱性CVE-2024-1709およびCVE-2024-1708。両者がBlack BastaおよびBl00dyランサムウェアを含むさらに多くの脅威アクターたちに利用され始めていることを、トレンドマイクロが報告した。
CVE-2024-1709(CVSS 10)は認証バイパス、CVE-2024-1708(CVSS 8.4)はパストラバーサルの脆弱性。ConnectWiseは両脆弱性を2月19日に開示し、その2日後にアドバイザリを更新して悪用が始まっている旨を伝えていた。またPoCエクスプロイト(まとめて「SlashAndGrab」と呼ばれている)も先週から出回っているという。
関連記事:ConnectWise、リモートアクセスツール「ScreenConnect」の重大な欠陥を修正:CVE-2024-1709、CVE-2024-1708
トレンドマイクロは27日に公開したブログ記事の中で、脆弱なScreenConnectサーバーにBlack Bastaランサムウェアに関連するCobalt Strikeビーコンが展開されていたことを報告。同グループはサーバーへの初期アクセスを獲得して偵察活動などを実施していたほか、最近Active Directory環境に接続されたマシンを特定するためのスクリプトを投下するなどの動きも見せたという。同社はまた、Bl00dyが、ContiやLockBitから流出したビルダーを展開する攻撃においてScreenConnectの脆弱性を悪用していたことについても伝えている。
上記グループ以外にも複数アクターによる悪用が観測されている今回の脆弱性。ConnectWiseは顧客に対し、ScreenConnectをできる限り早くバージョン23.9.8へアップデートするよう推奨している。
ロシアのAPT29、ターゲットをクラウドサービスに変更
Security Affairs – February 27, 2024
ファイブアイズ加盟国(米国、英国、オーストラリア、カナダ、ニュージーランド)のサイバーセキュリティ機関が発表した共同勧告によると、ロシアの国家支援型脅威アクターAPT29(別称Midnight Blizzard、Nobelium)はターゲットをクラウドサービスに変更したようだ。
今回の勧告では、この脅威アクターのTTP(戦術・技術・手順)が最近変わったことについて警告。企業や組織がインフラをクラウドベースのものへと移行させる中、APT29も「オンプレミスネットワークのソフトウェアの脆弱性を悪用するなどといった、従来の初期アクセス獲得手段から脱却し、その代わりにクラウドサービス自体を標的にせざるを得なくなっている」旨が記された。
APT29が関連する過去のキャンペーンでは、多要素認証(MFA)が設定されていないサービスアカウントにブルートフォース攻撃やパスワードスプレー攻撃を仕掛けて侵害する手口が確認されている。また、標的組織内でアクティブな役割を持たなくなったユーザーに紐づく休眠アカウントを狙う攻撃のほか、トークンを使ってアカウントにアクセスし、被害者が通知を受け入れるまでMFAリクエストを繰り返しプッシュする「MFA爆撃」や「MFA疲労攻撃」でMFAを突破していることも観測されている。