- 2021/04/06
- サイバー攻撃
HAFNIUMへの対応:サイバーリーズンはお客様のセキュリティ保護に専念
Post by : Cybereason Security Team
先日、HAFNIUMと呼ばれる脅威アクターグループが行った国家支援型の攻撃によって、Microsoft Exchange製品が深刻な侵害を受けたことが明らかになりました。このインシデントの影響は、世界中の数万もの公共機関と民間組織に及ぶ可能性があります。
サイバーリーズンのインシデントレスポンス(インシデント対応)チームは、脆弱性が残存するMicrosoft Exchangeサーバーや、パッチを当てたものの完全には修復されていないMicrosoft Exchangeサーバーを積極的に狙っていると報告されている数多くの攻撃者からお客様を守るために、進化を続けるHAFNIUM関連の脅威を追跡調査しています。
この記事では、HAFNIUM攻撃の最新の動向とサイバーリーズンがディフェンダーグループを継続的に防御している状況について解説します。
HAFNIUM攻撃の背景
3月2日、マイクロソフト社は、同社のexploiting four vulnerabilities in its Exchange Serverソフトウェアの4つの脆弱性を悪用した、米国の組織を標的とした国家規模のサイバー攻撃について警告しました。この攻撃は、中国に拠点を置く「高度な技術を持った洗練された脅威アクター」であるHAFNIUMによるものとしています。
これらの攻撃は、実質的にProxyLogon攻撃であり、HAFNIUMが上記のExchangeの脆弱性を悪用するか、または窃取されたアカウント認証情報を利用して、組織のExchangeサーバーにアクセスすることから始まります。次の段階で、攻撃者はExchangeサーバーをリモートで制御する目的でウェブシェルを構築し、最終的に標的の組織のネットワークから機密情報を遠隔操作で盗み出しました。
マイクロソフト社の発表から3日後、KrebsOnSecurity社は、HAFNIUMがセキュリティの欠陥を利用して、米国内だけでも数万の組織を危険にさらしたと報じました。ロイターの報道によれば、ノルウェーの国会、ヨーロッパの金融機関、スペイン政府など、アジアや欧州の他の数万の組織でも同様の手口による侵害が発生したとのことです。
マイクロソフト社は、このスクリプトを使ってHAFNIUMのIoC(Indicators of Compromise:障害の痕跡)をスキャニングし、影響を受けたシステムにこれらのセキュリティ更新プログラムのパッチを適用するよう顧客に呼びかけました。しかし、影響を受けた数万の企業では、パッチを当てるだけではさらなる侵入からシステムを守ることができないことがすぐに明らかになりました。
その後、当初のHAFNIUM攻撃の後に残されたウェブシェルを利用して、世界中でDearCryランサムウェアの配信をはじめとするメールサーバーの侵害を目的とした別の攻撃が報告されています。
サイバーリーズンはお客様のセキュリティ保護に専念
サイバーリーズンはお客様のセキュリティを第一に考えており、すべてのお客様は最初のHAFNIUM攻撃から保護されるだけでなく、その後に続く他の脅威アクターの攻撃からも引き続き保護されます。
Cybereason Defense Platformは、HAFNIUMのような脅威に対して多層防御を行います。Cybereason EDRは、PowerCat、lsassのプロセスダンプ、Nishang Invoke-PowershellTcpOneLineリバースシェルなどを利用するPost-Exploitation(侵入後の悪用)技術を検出します。
さらに、Cybereason NGAVは、HAFNIUMアクターの攻撃の後期段階におけるマルウェアペイロードの実行とクレデンシャルの窃盗を阻止するだけでなく、DearCryランサムウェアを活用する他の脅威アクターからの最新の攻撃をも防御します。
貴社の組織がこれらの攻撃の被害にあっている場合、または侵害の可能性について懸念がある場合は、ただちにサイバーリーズンへご連絡いただき、当社のインシデントレスポンス(インシデント対応)のエキスパートチームに攻撃の封じ込めをご依頼ください。
また、貴社に合わせた侵害調査サービスを提供し、お客様のセキュリティチームが未確認の脅威を特定し、駆除できるようお手伝いいたします。当社は、お客様のチームと協力して、MDR(Managed Detection and Response)サービスを通じて、お客様のセキュリティ対策を加速させ、潜在的な侵害から組織を保護します。
ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」
このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/
