9月10日:サイバーセキュリティ関連ニュース
SonicWall SSLVPNの重大な脆弱性、ランサムウェア攻撃で悪用される:CVE-2024-40766
BleepingComputer – September 9, 2024
SonicOS搭載のSonicWall製ファイアウォールデバイスに影響を与える重大な脆弱性CVE-2024-40766が、ランサムウェアグループのアフィリエイトらに悪用されているとの報道。SonicWall社は先週金曜に「実際の攻撃で悪用されている可能性がある」としてパッチの早期適用を呼びかけたものの、悪用の詳細については共有していなかった。
CVE-2024-40766は第5〜7世代のファイアウォール製品における不適切なアクセス制御の脆弱性。8月22日のパッチリリース時点では管理アクセスインターフェースのみが影響を受けるとされていたが、9月6日にSonicWallはアドバイザリを更新し、SSLVPN機能にも影響がある旨を新たに明かした。同じ日のうちに、Arctic Wolf社のセキュリティ研究者らがAkiraランサムウェアのキャンペーンでこの脆弱性が悪用されていたと報告。同グループのアフィリエイトによって侵害されたすべてのアカウントがMFAを有効化しておらず、また攻撃を受けたデバイスに搭載されていたSonicOSがCVE-2024-40766に脆弱なバージョンであったことを共有した。
加えて、Rapid7社も複数のランサムウェアグループがSonicWallのSSLVPNアカウントを標的にしているのを最近のインシデントにおいて観測。これらのインシデントとCVE-2024-40766を結びつける証拠はまだ状況的なものでしかないとしながらも、SonicOSファームウェアの可及的速やかなアップグレードを管理者に促した。なお、この脆弱性は米CISAのKEVカタログ(悪用が確認済みの脆弱性カタログ)にも追加されており、米連邦政府組織には9月30日までの対応実施が義務付けられている。
中国ハッカー、東南アジア組織へのスパイ攻撃でVisual Studio Codeを悪用
The Hacker News – Sep 09, 2024
中国関連のAPTグループMustang Panda(別称BASIN、Bronze President、Camaro Dragon、Earth Pretaなど)が、東南アジアの政府組織を狙ったスパイ攻撃でVisual Studio Codeソフトウェアを利用しているという。この攻撃は、過去に報告された2023年9月のキャンペーンと地続きであるとUnit 42(Palo Alto Networks)は評価している。
Unit 42によって最近観測された攻撃は、Visual Studio Codeのリバースシェルを悪用して任意のコードを実行したり、さらなるペイロードを配布したりしようとするもの。Visual Studio Codeの悪用では、同ソフトウェアの実行ファイル「code.exe」のポータブルバージョンまたは既にインストール済みのソフトウェアバージョンが使われる。攻撃者はコマンド「code.exe tunnel」を走らせることで、攻撃者自身のアカウントでGitHubへログインするよう求めるリンクを受け取ることができる。この工程が完了すると、攻撃者は感染したマシンに接続されたVisual Studio CodeのWeb環境へリダイレクトされ、コマンドを実行したり新たなファイルを作成したりできるようになるのだという。
Visual Studio Codeを悪用するこの手法は、2023年9月に研究者のTruvis Thornton氏によって初めて紹介された「比較的新しいテクニック」とされている。Unit 42によれば、Mustang Pandaがこの手法を使う目的は、マルウェアを配布したり、偵察行為を行ったり、機微なデータを抽出したりすること。加えて同アクターは、コマンドの実行やファイルの転送、またネットワーク内での移動のためにOpenSSHを使っていたともされる。
Unit 42が分析した標的環境ではさらに、Visual Studio Codeを悪用する攻撃に加えて第2の活動群が「同時に発生しており、時には同一のエンドポイント上」で見受けられたという。この活動群では、中国の複数スパイグループが共通して用いるモジュラーバックドア「ShadowPad」が使われていたとされる。両活動群が互いに結びついているのか、もしくは異なる2つのグループが互いの侵入行為に便乗し合っているのか、どちらなのかは現時点で不明とのこと。