SolarWinds事件に関与した脅威グループは、新たな攻撃キャンペーンの種を蒔く:Cybersecurity Dive
米国当局は、2020年のSunburst攻撃に関与した攻撃者が、将来のサプライチェーン侵害に備えてJetBrainsのTeamCityの脆弱性を悪用していることへの警戒を強めている。
米国当局は「ロシア対外情報庁(SVR)に関連する攻撃者が(注1)、大規模なサプライチェーン攻撃につながる可能性のある世界的な取り組みの一環として、JetBrainsのソフトウェア『TeamCity』の重大な脆弱(ぜいじゃく)性を悪用している」と警告した。
米国連邦捜査局(FBI)や米国家安全保障局(NSA)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、英国およびポーランドの当局によると、マルウェア「Sunburst」攻撃に関連した脅威グループ「Nobelium/Midnight Blizzard」が、パッチが適用されていない数百のTeamCityのサーバを標的にしているという。
ハッカーたちはまだサプライチェーン攻撃を実行していないが、当局によると、初期アクセスを利用して特権をエスカレーションさせ、システム内を横移動し、より大規模な攻撃に向けて悪意のあるバックドアをインストールしているようだ。
数十社が既に不正アクセス被害 各国のハッカーが続々と悪用
当局によると現在、米国や欧州、アジア、オーストラリアで、数十社が不正アクセスを受けており、100台以上のデバイスが危険にさらされている。
これまでに確認されているインシデントとして、エネルギー業界団体や医療機器・カスタマーケア、財務管理、ビデオゲームに関連するソフトウェア企業などの幅広い組織が挙げられる。
非営利のセキュリティ組織The Shadowserver Foundationのデータによると、2023年12月13日(現地時間)の時点で、パッチが適用されていないインスタンスが世界中に約800あるという(注2)。
JetBrainsはTeamCityを修正バージョンにアップグレードし(注3)、すぐにアップグレードできない場合はインターネットから切断するよう顧客に呼びかけている。
Microsoftの研究者は2023年10月、北朝鮮に関連するハッカーが(注4)、オンプレミス版のTeamCityでリモートコードの実行を可能にする脆弱性「CVE-2023-42793」を悪用していると警告した(注5)。
北朝鮮に関連するハッカーDiamond SleetとOnyx Sleetは、マルウェア「ForestTiger」にバックドアをインストールし、悪意のあるコードを実行するために連携していることが確認されている。
セキュリティ企業Fortiguard Labsは2023年10月、米国のバイオメディカル製造企業で発生したインシデントに対応し(注6)、「APT 29」として知られる攻撃者が使用したマルウェア「GraphicalProton」と一致するカスタムビルドマルウェアを発見した。
TeamCityはSolarWindsでも使用されていたが、JetBrainsは2021年1月に、それがSolarWindsへの最初のアクセスに使用されたことを否定し(注7)、攻撃につながる可能性のある脆弱性も認識していなかったという。
(注1)Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally(CISA)
(注2)General statisticsTime series(SHADOW SERVER)
(注3)CVE-2023-42793 Vulnerability in TeamCity: December 14, 2023 Update(JET BRAINS)
(注4)Critical flaw in JetBrains TeamCity exploited weeks after patch issued(Cybersecurity Dive)
(注5)NATIONAL VULNERABILITY DATABASE(NIST)
(注6)TeamCity Intrusion Saga: APT29 Suspected Among the Attackers Exploiting CVE-2023-42793(FORTINET)
(注7)An Update on SolarWinds(JET BRAINS)
関連記事
- Pythonの機械学習ライブラリ「PyTorch」に脆弱性 研究者が発見
Pythonの機械学習ライブラリ「PyTorch」に脆弱性が見つかった。GitHubのデプロイシステムと組み合わせることで悪用が可能になるという。 - 川口 洋氏が提言、エンドポイントを守るために今すぐ“やめるべき”5つの習慣
なぜエンドポイントでインシデントが発生するのか。それは5つの穴を放置しているからに他ならない。川口設計の川口 洋氏が今すぐ見直したいエンドポイントの課題を明らかにした。 - 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - 神戸大 森井教授が提言する、セキュリティ予算0円の企業でも「できること」
ランサムウェア攻撃が激化する中、セキュリティに回す予算やリソースがないと嘆く中堅・中小企業は多く存在する。そういった企業に向けて神戸大学大学院教授の森井昌克氏が“できること”を伝えた。
© Industry Dive. All rights reserved.