ProxyLogon
先日話題にしていたマルウェア( ProxyShell )が悪用している脆弱性に関連する話です。
このProxyLogonと呼ばれている脆弱性を悪用したマルウエアを使う犯罪グループが確認されています。
その犯罪グループはFamousSparrowと呼ばれています。
- 目的は複数あるかもしれないが、主な目的とみられるのはスパイ行為である
- ターゲットには、ホテル、政府、国際機関、法律事務所、エンジニアリング会社などが確認されている
- 対象範囲は広く、ヨーロッパ全土(フランス、リトアニア、英国)、中東(イスラエル、サウジアラビア)、南北アメリカ(ブラジル、カナダ、グアテマラ)、アジア(台湾)、アフリカ(ブルキナファソ)が確認されている
- 悪用する脆弱性は、Microsoft SharePointのリモートコード実行の脆弱性、Oracle
Operaホテル管理ソフトウェア、ProxyLogonと呼ばれるMicrosoft Exchangeのセキュリティ上の欠陥などがある - 使っている道具は、このようなものがある
- Mimikatzの2つのカスタムバージョン
- Windows LSASSプロセスをダンプすることによってメモリコンテンツ(資格情報など)を収集するように設計された小さなツール
- FamousSparrowのみが使用するSparrowDoorと呼ばれるバックドアなどのカスタムツール
ちなみに、このProxyLogonの脆弱性に対策するパッチが案内されたのは、2021年3月2日でした。
ところがこのProxyLogonの問題を悪用する攻撃行為は、2021年1月3日にはすでに観測されていたというのです。
この脆弱性、いったいいつだれが最初に発見したのでしょう。
ゼロデイどころか、マイナス2か月以上です。
脆弱性を見つける人は、いろいろな立場でしょう。
- アプリケーション開発者
作っている人が自分で見つけるのが一番対策が早いかもしれません - セキュリティ研究者
発見した問題を解決する方向で活動することが期待できる人が発見することは良いことに思えます - 犯罪グループのメンバー
発見した問題を悪い方法でお金に換えることが始まるかもしれません
速やかにセキュリティパッチを適用しても、そのずっと前にすでにその脆弱性が関連する攻撃活動は始まってしまっているかもしれません。
が、悲観していても始まりません。
できる範囲で構わないので、タイムリーにパッチ適用などのセキュリティ対策を実施することが必要なのだと感じました。
参考記事(外部リンク):Hacking group used ProxyLogon exploits to breach hotels
worldwide
www.bleepingcomputer.com/news/security/hacking-group-used-proxylogon-exploits-to-breach-hotels-worldwide/
