Mandiant、IvantiのVPNを狙うサイバー攻撃に関する調査を公開 高度な攻撃を観測Cybersecurity Dive

Mandiantは、Ivanti Connect Secureを狙ったサイバー攻撃について調査を公開した。これを狙った8つの脅威グループを特定し、侵入後の活動についても報告した。

» 2024年04月20日 07時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 Mandiantが2024年4月4日(現地時間、以下同)に発表した調査において(注1)、リモートアクセスツール「Ivanti Connect Secure」は、これまで考えられていたよりも多くの脅威グループに悪用され、侵害されていたことが分かった。

MandiantがIvantiへのサイバー攻撃に対する調査を公開 攻撃者の狙いと動向

 Mandiantが観測した侵入後の活動には、オープンソースツールや複数のカスタムマルウェアファミリーを使用した脅威の横展開(ラテラルムーブメント)が含まれていた。

 Mandiantは「Ivantiが2024年1月10日に公表した脆弱(ぜいじゃく)性である『CVE-2023-46805』『CVE-2024-21887』『CVE-2024-21893』の1つ以上の悪用に関与している8つの異なるグループを観測した」と述べた(注2)(注3)(注4)。この中には、中国に関連した5つのスパイグループと、経済的な動機を持つ3つの攻撃者が含まれている。

 Mandiantは、Ivantiやその顧客の一部と協力してインシデント対応に取り組んでいる。Ivantiのジェフ・アボット氏(CEO)が社内のセキュリティ慣行を見直すと公言した翌日に(注5)、Mandiantは、Ivantiへの攻撃に関する最新の調査結果を発表した。

 「私たちはMandiantに積極的に協力しており、この巧妙な攻撃に直面している顧客が自らを守る手段を発見できるように努めている」(Ivantiの広報担当者)

 Ivantiの脆弱性は、スパイ活動や金融資産の窃取を目的とした脅威グループを、これまでの報告よりも多く引き付けていたことが、Mandiantの調査で明らかになった。この調査結果は、2024年2月下旬以降のMandiantの観測に基づくものだが、活動は同年1月中旬から同年2月にかけて発生している。

 Mandiantは、ブログ投稿で次のように述べている。

 「中国とのつながりがあると思われる攻撃者は、目的を達成するために機器固有の機能を悪用し、Ivanti Connect Secureのコマンドを高度化している」

 Mandiantは2024年2月に悪用を試みたグループを「Volt Typhoon」としても知られるUNC5291によるものだと結論付けた(注6)。研究者は、ブログで「Mandiantは、Volt TyphoonがIvanti Connect Secureの侵害に成功したことを直接観測していない」と述べた。

 中国に関連する脅威グループは、2023年12月にCitrix製品の重大な脆弱性を悪用しており、大きな攻撃に備えて(電力やガス、鉄道、空港などの)重要インフラ業界の複数の組織に侵入している(注7)。

 MandiantがUNC5221として識別している別の中国系スパイグループは、関連する脆弱性が公開される前の2023年12月初旬から、Ivantiの脆弱性を悪用していたことが判明している唯一の組織だ。Mandiantによると、中国に関連する他の3つのスパイグループや集団が、IvantiのVPNを悪用したり、悪用後の活動を実行したりしている。

 Mandiantの研究者によると、経済的な動機に基づく脅威グループが、Ivantiのゼロデイ脆弱性のうち初期の2つの脆弱性を悪用し始めた兆候も確認されているという。Mandiantによると、経済的な動機に基づくこの3つの攻撃者は、暗号通貨マイニングに関連する作業を実行可能にしようとしている可能性が高いという。

 Mandiantは、Ivantiの顧客に対して、Ivantiが2024年4月3日に新しいパッチとともに公開した内部および外部の整合性チェッカーツールを実行するよう助言した。これには、Ivantiが同日のブログ投稿で開示した4つの新しい脆弱性も含まれている(注8)。

(注1)Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies(Google Cloud)
(注2)KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways(ivanti)
(注3)CVE-2024-21887 Detail(NIST)
(注4)CVE-2024-21893 Detail(NIST)
(注5)Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree(Cybersecurity Dive)
(注6)CISA, FBI confirm critical infrastructure intrusions by China-linked hackers(Cybersecurity Dive)
(注7)Five Eyes implores critical infrastructure execs to take China-linked threats seriously(Cybersecurity Dive)
(注8)Security Update for Ivanti Connect Secure and Policy Secure(Ivanti)

© Industry Dive. All rights reserved.

注目のテーマ