SolarWinds事件に関与した脅威グループは、新たな攻撃キャンペーンの種を蒔く：Cybersecurity Dive

米国当局は、2020年のSunburst攻撃に関与した攻撃者が、将来のサプライチェーン侵害に備えてJetBrainsのTeamCityの脆弱性を悪用していることへの警戒を強めている。

[David Jones，Cybersecurity Dive]

　米国当局は「ロシア対外情報庁（SVR）に関連する攻撃者が（注1）、大規模なサプライチェーン攻撃につながる可能性のある世界的な取り組みの一環として、JetBrainsのソフトウェア『TeamCity』の重大な脆弱（ぜいじゃく）性を悪用している」と警告した。

　米国連邦捜査局（FBI）や米国家安全保障局（NSA）、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、英国およびポーランドの当局によると、マルウェア「Sunburst」攻撃に関連した脅威グループ「Nobelium/Midnight Blizzard」が、パッチが適用されていない数百のTeamCityのサーバを標的にしているという。

　ハッカーたちはまだサプライチェーン攻撃を実行していないが、当局によると、初期アクセスを利用して特権をエスカレーションさせ、システム内を横移動し、より大規模な攻撃に向けて悪意のあるバックドアをインストールしているようだ。

数十社が既に不正アクセス被害　各国のハッカーが続々と悪用

　当局によると現在、米国や欧州、アジア、オーストラリアで、数十社が不正アクセスを受けており、100台以上のデバイスが危険にさらされている。

　これまでに確認されているインシデントとして、エネルギー業界団体や医療機器・カスタマーケア、財務管理、ビデオゲームに関連するソフトウェア企業などの幅広い組織が挙げられる。

　非営利のセキュリティ組織The Shadowserver Foundationのデータによると、2023年12月13日（現地時間）の時点で、パッチが適用されていないインスタンスが世界中に約800あるという（注2）。

　JetBrainsはTeamCityを修正バージョンにアップグレードし（注3）、すぐにアップグレードできない場合はインターネットから切断するよう顧客に呼びかけている。

　Microsoftの研究者は2023年10月、北朝鮮に関連するハッカーが（注4）、オンプレミス版のTeamCityでリモートコードの実行を可能にする脆弱性「CVE-2023-42793」を悪用していると警告した（注5）。

　北朝鮮に関連するハッカーDiamond SleetとOnyx Sleetは、マルウェア「ForestTiger」にバックドアをインストールし、悪意のあるコードを実行するために連携していることが確認されている。

　セキュリティ企業Fortiguard Labsは2023年10月、米国のバイオメディカル製造企業で発生したインシデントに対応し（注6）、「APT 29」として知られる攻撃者が使用したマルウェア「GraphicalProton」と一致するカスタムビルドマルウェアを発見した。

　TeamCityはSolarWindsでも使用されていたが、JetBrainsは2021年1月に、それがSolarWindsへの最初のアクセスに使用されたことを否定し（注7）、攻撃につながる可能性のある脆弱性も認識していなかったという。

（注1）Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally（CISA）
（注2）General statisticsTime series（SHADOW SERVER）
（注3）CVE-2023-42793 Vulnerability in TeamCity: December 14, 2023 Update（JET BRAINS）
（注4）Critical flaw in JetBrains TeamCity exploited weeks after patch issued（Cybersecurity Dive）
（注5）NATIONAL VULNERABILITY DATABASE（NIST）
（注6）TeamCity Intrusion Saga: APT29 Suspected Among the Attackers Exploiting CVE-2023-42793（FORTINET）
（注7）An Update on SolarWinds（JET BRAINS）

原文へのリンク