CVE-2024-9474が悪用される パロアルト製デバイスにバックドア「LITTLELAMB.WOOLTEA」を発見
Securityonline[.]info – December 24, 2024
Northwave Cyber Securityは、高度なバックドア「LITTLELAMB.WOOLTEA」がパロアルトネットワークス製のファイアウォールを標的としているのを発見した。
攻撃者は、同社製ファイアウォールに影響を与えるPAN-OSの脆弱性CVE-2024-9474(権限昇格の脆弱性)を利用してデバイスに侵入し、「bwmupdate」という有害スクリプトを注入して当該バックドアをインストールしたという。
このバックドアは正規のlogdサービスを装っており、rc.localファイルを変更して、パッケージマネージャー「RedHat」の構成を変更することで永続性を実現する。これにより、システムがアップグレードされた後も存続することが可能になる。またnginxプロセスに動的ライブラリを注入してaccept()関数を乗っ取るようで、これにより48バイトのパターン「magic knock」を使用し、攻撃者自身のポートでなく既存のポートで秘密裏に通信を行うことができるそうだ。
このほか、LITTLELAMB.WOOLTEAはリモートでのコマンド実行をサポートするためにシェルアクセスを提供したり、密かにデータ転送を行うためにSOCKS5プロキシを設定したりするなどの機能も備えている模様。そして多用途の通信プロトコルも実装しているため、ノード間の通信から各オペレーターの接続を固有の識別子で区別し、感染したデバイスのネットワーク全体にわたって階層的なコマンド&コントロールが可能になるという。
このバックドアの帰属はまだ確認されていないが、その複雑性から国家支援型アクターの手によるものとの可能性が示唆されている。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価