攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes
JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes
はじめに 複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガイダンス[1]検討会(事務局:NISC、警察庁、総務省、経済産業省、JPCERT/CC)で議論され、同ガイダンスにて示されています。あらためて、個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについて解説します。 ※なお、公表のあった事案の詳細は不明ですが、現時点において関連する被害公表がなされた事案について弊センターは関与していないため、本稿については個別のインシデント対応に係る守秘義務契約等になんら影響するものではない点を記しておきます。 原因となった製品の脆弱性に関
Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes
JPCERT/CCでは、2023年2月頃、国内のルーターにマルウェアを感染させる攻撃を確認しています。今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアGobRATの詳細について解説します。 マルウェア実行までの攻撃の流れ 初めに攻撃者はWEBUIが外向けに開いているルーターを狙って脆弱性などを使用し、各種スクリプトを実行した後、最終的にマルウェアGobRATを感染させます。図1は、マルウェアGobRATがルーターに感染するまでの攻撃の流れです。 Loader Script には主に次の機能があり、各種スクリプトの生成やGobRATのダウンロードを行うなど、ローダーの役割を担っています。なお、バックドア用と推測されるSSH公開鍵は Loader Script 内にハードコードされています。 Loader Script はcrontabを使って Start Script のフ
なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ - JPCERT/CC Eyes
Top > “インシデント”の一覧 > なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。 今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
