セキュリティ研究者は、機密性の高いターゲットに対するハッカーの攻撃を報告します

パロアルトネットワークスのセキュリティ研究者は、防衛、医療、エネルギーなどのデリケートなセクターで活動している標的エンティティを侵害するハッカーの取り組みに関する厄介な調査結果を報告しました。セキュリティ会社が実施した調査は、米国のサイバーセキュリティおよびインフラストラクチャセキュリティ機関の支援を受けています。

パロアルトが最初にCNNと共有した情報によると、これらのデリケートなセクターで活動する少なくとも9つの個別のエンティティが世界中で標的にされ、それらのエンティティの「少なくとも」1つは米国にあります。

攻撃の準備は2021年9月中旬に始まり、攻撃者は米国内にある「リースされたインフラストラクチャ」を使用して、多数の企業ネットワークの脆弱性をスキャンしました。スキャンされた数百のエンティティのうち、パロアルトは少なくとも9つが正常に侵害されたと考えており、成功した侵害の少なくとも1つは米国の組織に対するものでした。

攻撃者は、ZohoCorporationのManageEngineソフトウェアにパッチが適用された脆弱性を使用しました。この脆弱性は、CVE-2021-40539指定子の下で追跡されました。

使用された攻撃ベクトルとペイロードはすべての標的組織で同じであったため、これはすべて同じ脅威アクターによって実行されたように見えます。侵害されたネットワークには、ゴジラのWebシェルがアップロードされていました。限られたターゲットプールには、バックドアも設置されました。

ツールが展開されると、攻撃者はツールを横方向の移動とファイルの漏えいに使用しました。ドメインコントローラーへのアクセスがハッカーによって取得されたとき、ハッカーはログイン資格情報を盗むことを可能にするツールもインストールしました。

攻撃者の身元に関する確かな情報はありませんが、パロアルトによれば、中国の脅威アクターの方法に沿ったネットワークへの侵入に使用される戦術のいくつかがあります。攻撃に使用されたゴジラのWebシェルも、中国語版のツールでした。パロアルトと米国のCISAによるこの最新の共同発見のように、サイバースパイは依然として重大な脅威です。組織は、金銭に飢えたランサムウェアの攻撃者と、この最新の侵害と同様のスパイ攻撃の両方から保護する必要があります。

November 9, 2021