12月16日:サイバーセキュリティ関連ニュース
Citrix、NetScalerアプライアンス狙った世界規模のパスワードスプレー攻撃について警告
Securityonline[.]info – December 15, 2024
Citrixは13日、同社製品に対するパスワードスプレー攻撃の増加についてのアドバイザリを公開。世界中のNetScalerアプライアンスを狙ったこのキャンペーンは認証エンドポイントを悪用するもので、被害組織の業務に深刻な影響をもたらすという。
パスワードスプレー攻撃は、複数のアカウントで同じパスワードを試行する手法で、1つのアカウントで多数のパスワードを試行するブルートフォース攻撃とは異なる。パスワードスプレー攻撃を用いると、アカウントのロックアウトを避け、従来の検出メカニズムを回避できる場合が多い。
同社はアドバイザリの中で、NetScalerアプライアンスを使用している組織が直面する、運用上のリスクについていくつか取り上げた。例えば、ログイン試行の失敗回数が多すぎてログファイルがいっぱいになったり、認証要求の急増で管理CPUに負荷がかかりすぎるなどして、サービスや運用に支障をきたす恐れがあるという。
またこのキャンペーンは主に、nFactorが導入される前の認証エンドポイントを標的にしているとのこと。
Citrixはこれらの攻撃の影響を軽減するための詳細な緩和策を提供しており、多要素認証を有効にしたり、Webアプリケーションファイアウォール(WAF)をアクティブにしたりするなどの措置を実施するよう推奨している。
ハッカーグループWinnti、新たなPHPバックドア「Glutton」でほかの脅威アクターを標的に
BleepingComputer – December 15, 2024
中国のハッカーグループWinntiが、新たなPHPバックドア「Glutton」を使い、中国と米国の組織やほかのサイバー犯罪者を攻撃しているという。中国のセキュリティ企業QAXのXLabのレポートで明らかになった。
Winnti(別名:APT41)はサイバースパイ活動や金銭を盗むキャンペーンで知られる、中国の国家支援型グループ。XLabによると、同グループは主にITサービス、社会保障機関、Webアプリ開発者を狙って中国と米国の標的にGluttonを展開しているという。
Gluttonは今年4月下旬に発見されたが、昨年12月からすでに展開されていたことが確認されている。同バックドアはELFベースのモジュール型バックドアで、柔軟性とステルス性を備えており、状況に合ったコンポーネントの起動を可能にする。主な機能としては、システム情報やWebパネルの機微情報の抽出、PHPベースのバックドアなどのインストール、有害なコードの注入などが挙げられ、中国で人気のサーバー管理ツールBaotaや、ThinkPHP、Yii、Laravelといった人気PHPフレームワークが標的になっている。また再起動後も持続的に動作できるように、システムファイルやBaotaのパネルファイルを変更することもあるようだ。ただXLabによると、Gluttonは高度なものでありながらも、ステルス性と暗号化の面で顕著な弱点があるため、まだ開発の初期段階の可能性があるという。
またこのハッカーグループは、Timibbsのようなサイバー犯罪フォーラムで販売されているソフトウェアパッケージにも同バックドアを仕込み、ほかのハッカーが有する機微情報を盗んでいることも明らかになった。
XLabは、当該キャンペーンに関するIoCを共有したが、初期アクセスベクターはいまだにわかっていないという。
【無料配布中!】偽情報トレンドレポート
2024年8月〜11月にかけての偽情報の手法や技術に関する公開情報、主に分析レポートを弊社アナリストがまとめたレポート『偽情報トレンドレポート』を、以下のバナーより無料でダウンロードいただけます。
<レポートの主なトピック>
- 要点
- 調査期間中のトピック一覧
✔️タイムライン - 主要なトピック
✔️「沖縄独立」を煽る偽情報
✔️米国大統領選に関する影響工作
✔️ディープフェイクのリアルタイム実を謳うアプリと脅威アクターからの評価
✔️ロシアや中国によるサイバーオペレーションの責任転嫁と見られる動き