編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

SolarWindsハッキング、中国の脅威グループが「SUPERNOVA」マルウェア展開に関与か

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2021-03-09 13:32

 Secureworksのカウンタースレットユニット(CTU)は米国時間3月8日、.NETで記述したウェブシェル「SUPERNOVA」を展開するために、インターネットに接続したSolarWindsのサーバーが2020年後半に使用されていた可能性があることを明らかにした

 同じネットワークが似たような方法で侵入されていることから、中国を拠点とすると疑われる脅威グループ「Spiral」が、いずれの事例にも関係しているようだ。

 研究者らによると、Spiralは脆弱性「CVE-2020-10148」を積極的に悪用している。SolarWindsの「Orion API」 にあるこの脆弱性は、認証バイパスのバグと説明されており、APIコマンドをリモートで実行できるようになる。

 脆弱性のあるサーバーが検出・悪用されると、PowerShellコマンドを使ってディスクにSUPERNOVAウェブシェルが展開される。

 Palo Alto Networksによると、SUPERNOVAは.NETで記述された高度なウェブシェルだ。侵害したマシンで永続性を維持するだけでなく、メモリー内に「メソッド、引数、コードデータ」をコンパイルし、痕跡をほぼ残さないように設計されているという。

 「攻撃者は、Orionバイナリーに埋め込むステルス性の高い本格的な.NET APIを構築しており、その標的となるユーザーは通常、高度な特権を持ち、組織のネットワーク内で高度な可視性を持つ立場にある」と、Palo Alto Networksは述べている。「それにより、攻撃者は悪意のあるC#コードを使い、SolarWinds(そして.NET SDKにで公開されているWindows上のローカルオペレーティングシステム機能)を勝手に設定できるようになる。そのコードは無害のSolarWindsを操作中にオンザフライでコンンパイルされ、動的に実行される」(同社)

 Secureworksが指摘したケースでは、SUPERNOVAは偵察、ドメインマッピング、証明書と情報の窃盗に使用されていた。

 これまでに「ManageEngine ServiceDesk」が侵入されており、早いものでは2018年まで遡る。これらの例では同じコマンドが使用され、同じサーバーが不正にアクセスされた。ドメインコントローラーと機密データを含むシステムで、両方の攻撃で合計3つの管理者アカウントが侵害されて乗っ取られた。

 Secureworksのチームは「定期的に証明書やデータを盗むための長期的アクセスの維持、スパイ活動や知的財産権の窃盗など、ManageEngineサーバーを狙ったネットワーク侵入には、中国の脅威グループが関与しているようだ」と指摘している。

 しかしこれらのケースは、SolarWindsのソフトウェアを悪用した2020年12月のサプライチェーン攻撃とは無関係だと考えられている。そのサイバー攻撃では、悪意のあるOrionアップデートにより1万8000社以上が被害に遭った。

 SolarWindsの広報担当者は米ZDNetに次のように述べている。

 この記事は、最初にSolarWindsとは関係のない方法でネットワークが侵害された事例について触れている。攻撃者はその侵害によって、顧客のネットワークのOrionソフトウェアに悪意のあるSUPERNOVAコードを埋め込むことに成功した。

 SUPERNOVAは幾つものソフトウェア会社を攻撃ベクトルとして標的にした、広範かつ高度なサプライチェーン攻撃と無関係なことに留意してほしい。SUPERNOVAは、SolarWindsによって署名されたものでも配信されたものでもなく、この問題は12月にリリースしたOrionのアップデートで既に対処している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]