編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

SolarWindsハッキング、中国の脅威グループが「SUPERNOVA」マルウェア展開に関与か

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2021-03-09 13:32

 Secureworksのカウンタースレットユニット(CTU)は米国時間3月8日、.NETで記述したウェブシェル「SUPERNOVA」を展開するために、インターネットに接続したSolarWindsのサーバーが2020年後半に使用されていた可能性があることを明らかにした

 同じネットワークが似たような方法で侵入されていることから、中国を拠点とすると疑われる脅威グループ「Spiral」が、いずれの事例にも関係しているようだ。

 研究者らによると、Spiralは脆弱性「CVE-2020-10148」を積極的に悪用している。SolarWindsの「Orion API」 にあるこの脆弱性は、認証バイパスのバグと説明されており、APIコマンドをリモートで実行できるようになる。

 脆弱性のあるサーバーが検出・悪用されると、PowerShellコマンドを使ってディスクにSUPERNOVAウェブシェルが展開される。

 Palo Alto Networksによると、SUPERNOVAは.NETで記述された高度なウェブシェルだ。侵害したマシンで永続性を維持するだけでなく、メモリー内に「メソッド、引数、コードデータ」をコンパイルし、痕跡をほぼ残さないように設計されているという。

 「攻撃者は、Orionバイナリーに埋め込むステルス性の高い本格的な.NET APIを構築しており、その標的となるユーザーは通常、高度な特権を持ち、組織のネットワーク内で高度な可視性を持つ立場にある」と、Palo Alto Networksは述べている。「それにより、攻撃者は悪意のあるC#コードを使い、SolarWinds(そして.NET SDKにで公開されているWindows上のローカルオペレーティングシステム機能)を勝手に設定できるようになる。そのコードは無害のSolarWindsを操作中にオンザフライでコンンパイルされ、動的に実行される」(同社)

 Secureworksが指摘したケースでは、SUPERNOVAは偵察、ドメインマッピング、証明書と情報の窃盗に使用されていた。

 これまでに「ManageEngine ServiceDesk」が侵入されており、早いものでは2018年まで遡る。これらの例では同じコマンドが使用され、同じサーバーが不正にアクセスされた。ドメインコントローラーと機密データを含むシステムで、両方の攻撃で合計3つの管理者アカウントが侵害されて乗っ取られた。

 Secureworksのチームは「定期的に証明書やデータを盗むための長期的アクセスの維持、スパイ活動や知的財産権の窃盗など、ManageEngineサーバーを狙ったネットワーク侵入には、中国の脅威グループが関与しているようだ」と指摘している。

 しかしこれらのケースは、SolarWindsのソフトウェアを悪用した2020年12月のサプライチェーン攻撃とは無関係だと考えられている。そのサイバー攻撃では、悪意のあるOrionアップデートにより1万8000社以上が被害に遭った。

 SolarWindsの広報担当者は米ZDNetに次のように述べている。

 この記事は、最初にSolarWindsとは関係のない方法でネットワークが侵害された事例について触れている。攻撃者はその侵害によって、顧客のネットワークのOrionソフトウェアに悪意のあるSUPERNOVAコードを埋め込むことに成功した。

 SUPERNOVAは幾つものソフトウェア会社を攻撃ベクトルとして標的にした、広範かつ高度なサプライチェーン攻撃と無関係なことに留意してほしい。SUPERNOVAは、SolarWindsによって署名されたものでも配信されたものでもなく、この問題は12月にリリースしたOrionのアップデートで既に対処している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]