-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
5月10〜12日:サイバーセキュリティ関連ニュース
SAP NetWeaverサーバー狙う攻撃に中国のハッカーが関与:CVE-2025-31324
BleepingComputer – May 9, 2025
SAP NetWeaverの重大な脆弱性CVE-2025-31324を狙った現在進行中の攻撃は中国の脅威アクターによるものである可能性が高いと、Forescout社Vedere Labsのセキュリティ研究者らが報告。同調査チームが「Chaya_004」として追跡するこの脅威アクターは、遅くとも4月29日以降に始まったSAP NetWeaverインスタンスへの攻撃と関連づけられている。
CVE-2025-31324はSAP NetWeaverのVisual Composerのメタデータアップローダーに存在する不正なファイルアップロードの脆弱性。この悪用が成功した場合、認証されていない攻撃者はログインを行うこおtなく悪意あるファイルをアップロードしてリモートコード実行を達成できるようになる。SAPによって緊急パッチがリリースされたのは4月24日だが、複数のセキュリティ企業がそれ以前から悪用事例が存在することを報告しており、Mandiantは遅くとも2025年3月半ばからゼロデイ攻撃が始まっていたことを観測。Onapsishは同社のハニーポットが事前の偵察活動およびペイロードのテストを1月20日に初めてキャッチし、悪用試行は2月10日から始まったと伝えている。
関連記事:新たに発見されたSAP NetWeaverの重大な脆弱性が悪用され、WebシェルとBrute Ratelフレームワークを投下(CVE-2025-31324)
そんな中、遅くとも4月29日から開始されたより新しい攻撃についてのレポートを、5月8日にVedere Labsが公開。Chaya_004というアクターによるものとされるこれらの攻撃は、Cloudflareを装って自己署名された変則的な証明書を使ったIPアドレスから発せられており、その多くが中国のクラウドプロバイダー(アリババ、テンセント、HUAWEIクラウド、チャイナ・ユニコムなど)に属するものだったという。観測された攻撃において、攻撃者は中国語話者が開発したWebベースのリバースシェル(SuperShellや、中国を出どころとする様々なペンテストツールなど、中国語のツール類を複数展開していたとされる。
SAP製品の管理者には、NetWeaverインスタンスに早急にパッチを適用すること、メタデータアップローダーサービスへのアクセスを制限すること、サーバー上で不審なアクティビティが見られないかモニタリングすること、また可能であればVisual Composerサービスの無効化を検討することが推奨されている。なお、脅威モニタリング機関のShadowserver Foundationが伝えたところによると、CVE-2025-31324を狙う攻撃に脆弱なインターネットに露出したSAP Netweaverサーバーは5月8日時点で204件検出されたとのこと。
7,000台のIoT、EOLデバイスから成るプロキシボットネットを米・蘭当局が解体
The Hacker News – May 09, 2025
マルウェアに感染した何千件ものIoTデバイスやEOLデバイスで構成される不正なプロキシネットワークを解体したと、オランダと米国の当局が発表。このサービスの運営に携わっていたとされる容疑者4人が逮捕・起訴されたことも伝えられた。
上記2か国の合同作戦「Operation Moonlander」により解体されたのは、「anyproxy.net」および「5socks.net」として宣伝されるプロキシネットワーク。名称は異なるもののいずれも同一のボットネットを指している。2004年から存在していたと考えられるこのサービスはサブスク方式で運営されており、使用料として月額9.95〜110ドル相当の暗号資産をユーザーから徴収して4,600万ドル超の収益を得ていたとされる。ユーザーの側は、このプロキシを利用することで匿名性を保ったまま不正な行為を行うことができ、例えば5socks.netは広告詐欺やDDoS攻撃、ブルートフォース攻撃などを行う目的で使われていたことがわかっている。
このプロキシボットネットを構成するのは、マルウェア「TheMoon」の亜種に感染した廃盤ルーター。その半数が米国内に存在するもので、次いで多いのがカナダとエクアドルに所在するデバイスだという。オペレーターらは既知の脆弱性に対するエクスプロイトを用いてこうしたデバイスを侵害し、ボットネットに組み込んでいたとされる。ボットネットに追加されたデバイスは、トルコを拠点とする5つのサーバーから成るC2インフラに接続し、通信を行っていたことがわかっている。
anyproxy.netと5socks.netに対する法執行作戦に協力したルーメン・テクノロジーズ(Lumen Technologies)は、こうしたプロキシサービスは今後も引き続きインターネットセキュリティを直接的に脅かし続けるだろうとコメント。悪意あるアクターはこのようなサービスを使うことで一見無害な住宅用IPの背後に身を隠すことができるため、ネットワークモニタリングツールによる検出が困難になると警鐘を鳴らした。こうしたボットネットによるリスクを緩和するため、ユーザーにはルーターの定期的なリブートや、セキュリティアップデートのインストール、デフォルトパスワードの変更、EOLステータスになった製品の新規モデルへのアップグレードといった対策を行うことが推奨される。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
