ニュース
持続的標的型攻撃はどのように実行されたか――CISAが対応した事例の分析レポートを公開
VPNアプライアンスの脆弱性を突き、リスクある「SolarWinds Orion」サーバに侵入してWebシェル「Supernova」を仕込む――。直近で実際に発生した実際の持続的標的型攻撃について、対応にあたったCISAがレポートをまとめた。どのように侵入され攻撃されたのかが簡潔にまとまっている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2021年4月22日(現地時間)、「ある企業のネットワークに対して仕掛けられた持続的標的型攻撃」に対応した際の内容を分析レポートとしてまとめ、公開した。サイバー犯罪者がどのように企業ネットワークに侵入し、長期に渡って潜伏してサイバー攻撃を実施するかが分かりやすくまとまっている。
分析レポートによれば、攻撃者は企業ネットワークに侵入する最初の段階で、Pulse SecureのVPNアプライアンスを利用し、侵入後には「SolarWinds Orion」サーバへ移動した。さらに「Supernova」と呼ばれる「.NET Framework」向けのWebシェルを仕込んで認証情報を収集していたとされる。
企業に推奨される対策方法は
関連記事
- 【情報更新あり】VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供までは回避策を推奨
CISAがPulse Connect Secureの脆弱性を利用した攻撃に関する注意喚起を発表した。侵入を許した場合、Webシェルを仕込まれている可能性がある。場合によってはかなりの数のアカウントのパスワードリセットと、システム全体のチェックと対処が必要になる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.