ゼロデイ脆弱性からMITREに不正アクセス、VMware仮想環境で攻撃
マイナビニュース / 2024年5月28日 8時2分
米国の非営利団体「MITRE」は5月23日(米国時間)、Mediumへの投稿「Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion|by Lex Crumpton|MITRE-Engenuity|May, 2024|Medium」において、MITREへの不正アクセス事案について調査結果や防衛策を公開した。MITREはサイバーセキュリティなどの分野で米国の政府機関などを支援する組織で、最高のサイバーセキュリティを維持していると評価されていた。
しかしながら2024年4月、MITREの研究、開発、プロトタイピング用ネットワーク「NERVE(Networked Experimentation, Research, and Virtualization Environment)」に不審な活動が検出された。MITREのセキュリティチームは直ちに調査を開始し、2024年4月19日に侵害の事実を公表している(参考:「MITRE Response to Cyber Attack in One of Its R&D Networks | MITRE」)。
○侵入経路
MITREによると初期の侵入経路は「Ivanti Connect Secure」に存在した2つのゼロデイの脆弱性(CVE-2023-46805およびCVE-2024-21887)とされる。攻撃者は2023年12月31日(米国時間)にこれら脆弱性を悪用してIvantiアプライアンスにWebシェル「ROOTROT」を展開し、MITREのNERVEに侵入した。攻撃者はこのアクセスポイントを利用することで多要素認証(MFA: Multi-Factor Authentication)を回避したとされる。
侵入に成功した攻撃者はセッションハイジャックとRDP over HTML5を使用してNERVE内のシステムへの接続を確立し、NERVE環境を偵察した。次に侵害したIvantiアプライアンスからVMware vCenter Serverと通信し、複数のESXiホストとの接続を確立した。その後、攻撃者はRDP経由でNERVE内の複数のアカウントをハイジャックし、ユーザーのブックマークやファイル共有に不正アクセスを行った。
さらに攻撃者は永続性を確保するため複数の仮想マシン(VM)を作成し、バックドア「BRICKSTORM」およびJSP(JavaServer Pages)のWebシェル「BEEFLUSH」を展開している。これらを使用すると、正規のネットワークトラフィックに紛れて秘密の通信チャネルを確立できるとされる。
○影響と対策
-
-
- 1
- 2
-
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
大規模エクスプロイトがランサムウェアの主要ベクトルに - WithSecureが調査
マイナビニュース / 2024年6月18日 10時42分
-
中国が支援するサイバー攻撃、FortiGateの脆弱性を悪用して2万台超を侵害
マイナビニュース / 2024年6月13日 7時28分
-
被害が拡大するハッカーグループScattered Spider攻撃からID情報を守るには?
PR TIMES / 2024年5月29日 13時40分
-
EDRを削除して暗号資産マイナーを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 8時34分
ランキング
-
1Amazon、10回目の「プライムデー」を7月16日から2日間開催 100万点以上が“特別価格“に
ITmedia NEWS / 2024年6月25日 21時15分
-
2「昔のミスド良すぎる」「復活してほしい!」 30年以上前の“ミスドのドーナツ”に復活求める声相次ぐ
ねとらぼ / 2024年6月26日 12時30分
-
3「虎に翼」、髪の毛ボサボサな新キャラに驚きの声 「化けてるよ凄っ」「どこかで見たお顔? と思ったら」
ねとらぼ / 2024年6月25日 18時22分
-
4「GTO」出演後、消息をたった“幻の男”が登場 菊池風磨&小芝風花が再会し「変わってない!」と喜び
ねとらぼ / 2024年6月24日 20時8分
-
5いつでもどこでもSFCを美麗画面で!携帯型SFC互換機「IPS 16ビットポケットHD」発表―2024年9月下旬発売予定
Game*Spark / 2024年6月26日 11時36分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)