中国のスパイグループが、Ivantiのエッジデバイスに対するパッチ、アップグレード、工場出荷時設定のリセット後も残存するマルウェアの開発に近づいている。Ivantiは、Connect Secure、Policy Secure、Zero Trust Access (ZTA) ゲートウェイに影響する2つの高リスクの脆弱性を公表して以来、数ヶ月にわたり問題が続いている。その後、さらに2つのバグが発見され、5つ目のバグが出現した。これらの脆弱性を利用した攻撃が活発化し、少なくとも米国政府内ではIvanti製品の使用停止が命じられた。
Mandiantの研究によると、中国のハッカーはIvantiを標的にした攻撃を続け、新たな侵入、隠蔽、持続性の手法を開発している。特に、UNC5325として追跡されるグループは、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性を利用してIvantiの防御を回避し、様々なカスタムバックドアを展開している。UNC5325は、Ivanti Secure Connectの合法的なコンポーネントに埋め込まれたPerlベースのWebシェル、Bushwalkを使用して活動を隠蔽している。
UNC5325は、Connect Secureの合法的なコンポーネント「SparkGateway」を悪用し、システムアップグレード、パッチ適用、工場出荷時設定のリセットを越えて持続する機能を持つマルウェアの開発を試みている。しかし、暗号化キーの不一致により、まだ完全な持続性を達成していない。Mandiantは、Ivantiの脆弱性に引き続き関心を示す中国の脅威アクターに対し、顧客に対して保護を確保するための即時の行動を促している。
【ニュース解説】
Ivantiのエッジデバイスを対象とした中国のスパイグループによる攻撃が、新たな段階に入りつつあります。このグループは、パッチ適用や工場出荷時設定へのリセット後もデバイス内に残存するマルウェアの開発に近づいているとされています。Ivantiは、Connect Secure、Policy Secure、Zero Trust Access (ZTA) ゲートウェイに影響する複数の高リスク脆弱性を抱えており、これらの脆弱性を突く攻撃が活発化しています。
Mandiantの研究によると、特にUNC5325と追跡されるグループが、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性を利用してIvantiの防御を回避し、様々なカスタムバックドアを展開しています。このグループは、Ivanti Secure Connectの合法的なコンポーネントに埋め込まれたPerlベースのWebシェル、Bushwalkを使用して活動を隠蔽しています。
さらに、UNC5325はConnect Secureの合法的なコンポーネント「SparkGateway」を悪用し、システムアップグレード、パッチ適用、工場出荷時設定のリセットを越えて持続する機能を持つマルウェアの開発を試みています。しかし、暗号化キーの不一致により、まだ完全な持続性を達成していない状況です。
このニュースは、サイバーセキュリティの分野において、攻撃者が常に新しい手法を開発していることを示しています。特に、パッチ適用後も脅威が残る可能性があることは、企業や組織にとって大きな課題です。攻撃者が合法的なコンポーネントを悪用することで、従来のセキュリティ対策を回避し、長期間にわたってシステム内に潜伏することが可能になります。
このような攻撃の持続性は、被害の発見と対処を困難にします。また、攻撃者がシステム内での活動を隠蔽するために高度な手法を用いることで、セキュリティチームの対応を遅らせることができます。このため、企業や組織は、定期的なセキュリティ監査や、異常な活動を検出するための高度なモニタリングシステムの導入が必要となります。
長期的な視点では、攻撃者による新たな手法の開発に対抗するため、セキュリティ対策の継続的な更新と進化が求められます。また、脆弱性の早期発見と修正、従業員のセキュリティ意識の向上など、多角的なアプローチが重要となります。このような攻撃の増加は、サイバーセキュリティの重要性を改めて浮き彫りにしており、企業や組織は、より一層の警戒と対策の強化が求められています。
from Chinese APT Developing Exploits to Defeat Already Patched Ivanti Users.
