ニュース
出荷時リセットでも排除できない Ivantiデバイスに展開されたマルウェアに警戒を:セキュリティニュースアラート
Mandiantは、Ivantiデバイスに攻撃を仕掛ける脅威アクターUNC5325が使用するマルウェアが、システムアップグレードやパッチ適用後も排除できないと伝えた。数千ものデバイスに影響を及ぼしている可能性がある。
Mandiantは2024年2月27日(現地時間)、脅威アクター「UNC5325」がIvantiデバイスに対して攻撃を仕掛けていると発表した。システムアップグレードやパッチ適用、工場出荷時へのリセットなどを実行しても排除できないマルウェアを展開しているという。
Ivantiデバイスに関する深い知識を持つUNC5325とは何者か?
Mandiantは、2023年12月上旬に「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」に見つかった脆弱(ぜいじゃく)性を狙ったゼロデイ攻撃を継続的に調査しており、今回の発表はそこから新たに明らかになったものとなる。
発表時点で判明している内容は以下の通りだ。
- Ivantiデバイスのゼロデイ脆弱性を悪用したサイバー攻撃は、米国の防衛産業基盤部門など、さまざまな業種の数千ものデバイスに影響を及ぼしている可能性が高い
- UNC5325は中国によるサイバースパイ活動の可能性がある
- UNC5325が使ったマルウェアの一部には中国のサイバースパイ「UNC3886」によって使用されたマルウェアと重複するコードがある。なお、MandiantはUNC3886を「VMware ESXi」ホストに影響を与える技術を活用する中国のサイバースパイグループとして特定している
- MandiantはUNC5325とUNC3886が同一グループの可能性があると考えている
- UNC3886は、UNC5221と類似した「進化する戦術、技術、手順」(TTPs)を使っているが、同一グループであることを証明する十分なデータはないとされる
- 以前のパッチはUNC5325が組織に侵入する前に適用された場合に限り有効である
- MandiantはUNC5325が脅威キャンペーン「Volt Typhoon」に関連していると示す証拠は持っていない
Mandiantは、UNC5325がIvanti Connect Secureアプライアンスについて詳細な理解と重要な知識を持っていると判断し、Ivantiデバイスのユーザーに迅速な対処を促している。
Mandiantは、Ivantiのセキュリティアドバイザリーの内容を確認して指示に従い作業を実施すること、Ivantiの新しい外部整合性チェッカーを使用すること、Mandiantの強化ガイドを確認して対処することを推奨している。
関連記事
- ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは?
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。 - 「多要素認証が破られた!」とならないために 認証強度を上げる6つのコツ
多要素認証(MFA)は完璧なセキュリティ対策ではないが、ID/パスワードのみの単一要素認証に頼るよりはよほど効果的だ。だが、ただMFAを導入するだけでは不十分だ。バイパス事例などを踏まえて、MFAの強度を上げるコツを紹介する。 - 徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 - 川口 洋氏が提言、エンドポイントを守るために今すぐ“やめるべき”5つの習慣
なぜエンドポイントでインシデントが発生するのか。それは5つの穴を放置しているからに他ならない。川口設計の川口 洋氏が今すぐ見直したいエンドポイントの課題を明らかにした。
関連リンク
- KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
- Remediation + Hardening Guide - Ivanti Connect Secure (CS)
- Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts|Mandiant
Copyright © ITmedia, Inc. All Rights Reserved.