米国政府のメールサービスが標的型攻撃でハッキングされる

脅威インテリジェンスソリューション企業Mandiantは、中国のハッカーが最近の攻撃で政府および政府関連組織を過度に標的にし、Barracuda Email Security Gatewayのゼロデイ脆弱性を利用して、アメリカ全土の組織に特に焦点を当てて侵入したと報告しています。

インテリジェンス企業Mandiantによると、ハッキングされたデバイスの約3分の1が政府機関に属しており、そのほとんどが2022年10月から12月の間に発生しました。

特に、北米に特定された組織を含む、他のいくつかの州、町、州、部族、市、町のオフィスがこのキャンペーンで標的にされました。

そのことを考慮すると、このキャンペーンで標的にされた地方政府は、特定された影響を受けた組織の全体の約7パーセントに過ぎません。しかし、これは米国を拠点とした標的と比較すると、ほぼ17パーセントに急増します。

攻撃の動機はスパイ行為であるようで、攻撃者（UNC4841として特定された）は、政府の高官やハイテク分野に属するシステムへの侵入を行っていました。

メールセキュリティゲートウェイは、Barracudaがすべての脆弱なデバイスをリモートでパッチする前の5月20日に、セキュリティの欠陥がセキュリティゲートウェイデバイスへの侵入に利用されていることをユーザーに通知しました。

すべての脆弱なデバイスのパッチ適用から約10日後、同社は、ゼロデイ脆弱性が昨年10月から少なくとも7か月間にわたって攻撃に利用され、未知のマルウェアを放出し、感染したデバイスからデータを盗んでいたことを明らかにしました。

さらに、同社は1週間後に顧客に対し、パッチが適用されたものを含む感染した機器を直ちに交換するよう警告しました。脅威インテリジェンス企業によると、すべてのセキュリティゲートウェイデバイスの約5パーセントが侵害されています。

読む: Instagramが偽のTim Cookアカウントを削除

上記のように、攻撃ではSaltwaterやSeaspyを含む未知のマルウェアや、感染したデバイスへのリモートアクセスを得るためのSeaSlideという悪意のあるツールがドロップされました。

CISAはまた、DeathChargeおよびWhirlpoolマルウェアとして知られるSubmarineに関する情報を共有しました。このマルウェアは、Mandiantが高リスクターゲットと考える感染したデバイスの少数に関する企業のアドバイザリーの後に、制御を維持するための後期ペイロードとして同じ攻撃でドロップされました。

これは、このキャンペーンがグローバルな範囲を持っていたにもかかわらず、機会主義的ではなく、攻撃者が標的ネットワークへのアクセスを妨げる可能性のある事件に備えて計画と資金を十分に持っていたことを示しています。

脅威インテリジェンス企業のシニアインシデントレスポンスコンサルタントであるオースティン・ラーセンは、我々は膨大なリソース、資金、ノウハウを持つ強力な敵と対峙しており、無検知でグローバルなスパイキャンペーンを成功裏に実行する能力を持っていると述べました。中国のNexus攻撃者は、攻撃をより影響力があり、隠密で効果的にするために改善しています。

そのことを考慮すると、BarracudaとMandiantは、脆弱性がパッチ適用された後にCVE-2023-2868を介して感染した新しいセキュリティゲートウェイデバイスの証拠をまだ見つけていません。

これに加えて、先週、連邦捜査局は、これらのパッチが効果的でないと警告しました。デバイスは依然として進行中の攻撃で感染しています。

FBIはまた、Barracudaの顧客への警告を強化し、感染したデバイスをできるだけ早く分離し、交換するように助言し、ネットワークの侵入の可能性を調査するように企業に勧め、攻撃者の持続性を妨げるためにネットワークのプライベート資格情報（例：Active Directory）を変更およびローテーションするように促しました。

また、連邦法執行機関は、FBIが侵入を積極的に監視しており、セキュリティゲートウェイデバイスがこの脆弱性に感染し、脆弱であると見なしていると述べています。

さらに、同機関は、Barracudaに感染したすべてのESGデバイス（パッチ適用されたものを含む）が、疑わしい中国の脅威アクターによる脆弱性を利用したデバイスの継続的な侵害のリスクにさらされていることを確認しました。

読む: WhatsAppの最新アップデートでユーザーが写真のキャプションを編集できるようになりました：ここにスコープがあります