Mandiantが2024年4月4日(現地時間、以下同)に発表した調査において(注1)、リモートアクセスツール「Ivanti Connect Secure」は、これまで考えられていたよりも多くの脅威グループに悪用され、侵害されていたことが分かった。Mandiantは「Ivantiが2024年1月10日に公表した脆弱(ぜいじゃく)性である『CVE-2023-46805』『CVE-2024-21887』『CVE-2024-21893』の1つ以上の悪用に関与している8つの異なるグループを観測した」と述べた(注2)(注3)(注4)。この中には、中国に関連した5つのスパイグループと、経済的な動機を持つ3つの攻撃者が含まれている。
Mandiantは、Ivantiやその顧客の一部と協力してインシデント対応に取り組んでいる。Ivantiのジェフ・アボット氏(CEO)が社内のセキュリティ慣行を見直すと公言した翌日に(注5)、Mandiantは、Ivantiへの攻撃に関する最新の調査結果を発表した。Ivantiの脆弱性は、スパイ活動や金融資産の窃取を目的とした脅威グループを、これまでの報告よりも多く引き付けていたことが、Mandiantの調査で明らかになった。この調査結果は、2024年2月下旬以降のMandiantの観測に基づくものだが、活動は同年1月中旬から同年2月にかけて発生している。「中国とのつながりがあると思われる攻撃者は、目的を達成するために機器固有の機能を悪用し、Ivanti Connect Secureのコマンドを高度化している」
Mandiantは2024年2月に悪用を試みたグループを「Volt Typhoon」としても知られるUNC5291によるものだと結論付けた(注6)。研究者は、ブログで「Mandiantは、Volt TyphoonがIvanti Connect Secureの侵害に成功したことを直接観測していない」と述べた。MandiantがUNC5221として識別している別の中国系スパイグループは、関連する脆弱性が公開される前の2023年12月初旬から、Ivantiの脆弱性を悪用していたことが判明している唯一の組織だ。Mandiantによると、中国に関連する他の3つのスパイグループや集団が、IvantiのVPNを悪用したり、悪用後の活動を実行したりしている。
Mandiantの研究者によると、経済的な動機に基づく脅威グループが、Ivantiのゼロデイ脆弱性のうち初期の2つの脆弱性を悪用し始めた兆候も確認されているという。Mandiantによると、経済的な動機に基づくこの3つの攻撃者は、暗号通貨マイニングに関連する作業を実行可能にしようとしている可能性が高いという。 Mandiantは、Ivantiの顧客に対して、Ivantiが2024年4月3日に新しいパッチとともに公開した内部および外部の整合性チェッカーツールを実行するよう助言した。これには、Ivantiが同日のブログ投稿で開示した4つの新しい脆弱性も含まれている(注8)。
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »