シスコ、ソルトタイフーンがCVE-2018-0171を悪用して米国の通信ネットワークを標的にしたと確認

翻訳内容：

シスコは、Salt Typhoon として知られる中国政府が支援する脅威アクターが、既知の脆弱性 CVE-2018-0171 を悪用して米国の通信ネットワークに侵入したことを公式に確認しました。このセキュリティ上の欠陥と盗まれたログイン認証情報の使用により、攻撃者は侵害された環境への長期的なアクセスを維持することができ、1 つの事例では 3 年以上アクセスが継続しました。

Cisco Talos によると、 Salt Typhoon の活動は、高度な洗練性、協調性、忍耐力を備えており、これは APT (高度で持続的な脅威) グループに共通する特徴です。この攻撃は、国家主導の攻撃者が戦略的に重要なインフラに侵入し、深く持続的な拠点を確立することで、現在もリスクが生じていることを浮き彫りにしています。

長期にわたる、高度に組織化されたサイバースパイ活動

Salt Typhoon が何年もの間検出されずにいたことは、このグループの高度な戦術を浮き彫りにしています。複数のベンダーの機器に執拗に侵入していることは、綿密な計画と潤沢な資金による活動を示しています。脆弱性を悪用して目先の利益を得る機会主義的なサイバー犯罪者とは異なり、Salt Typhoon のような国家支援を受けた攻撃者は、継続的なアクセスを狙うことが多く、それによって情報収集、活動妨害、将来のサイバー攻撃への備えが可能になります。

以前のレポートでは、Salt Typhoon が CVE-2023-20198 や CVE-2023-20273 などの新しい脆弱性も悪用していると示唆されていましたが、Cisco はこれらの主張を裏付ける証拠を見つけていません。代わりに、主な悪用方法は、Cisco の Smart Install (SMI) プロトコルの欠陥である CVE-2018-0171 と認証情報の盗難の組み合わせのままです。

盗まれた認証情報: 最初のアクセスの鍵

この攻撃の重要な側面は、ネットワークデバイスにアクセスするために、盗んだ有効な認証情報を使用することです。Salt Typhoon がこれらの認証情報を取得するために使用した正確な方法はまだ不明ですが、証拠から、侵入したシステム内に保存されているログイン情報を積極的に検索していたことがわかります。また、ネットワークトラフィックを監視して認証データを取得し、特に SNMP、TACACS、RADIUS プロトコルをターゲットにして、秘密鍵やその他のログイン認証情報を抽出しました。

Salt Typhoon は、ネットワークに侵入すると、さまざまな手法を使って攻撃範囲を拡大し、アクセスを長期間維持します。これには、ネットワークデバイス構成の変更、不正なローカルアカウントの作成、ゲストシェルアクセスの有効化、永続的な SSH アクセスの設定などが含まれます。

土地に頼る生活技術とネットワークのピボット

Salt Typhoon は、検出を回避するために正規のシステムツールとインフラストラクチャを悪用する Living Off The Land (LOTL) 手法を活用しました。侵害されたネットワークデバイスをピボットポイントとして使用することで、身元を隠したまま、ある通信ネットワークから別の通信ネットワークに移動することができました。これらの侵害されたデバイスは、中間リレーとして機能し、攻撃者が最終ターゲットに向かって横方向に移動したり、アウトバウンドのデータ流出ルートを確立したりするのを助けたと考えられます。

さらに検出を回避するために、Salt Typhoon は侵害されたスイッチのループバックインターフェイスアドレスを変更してネットワーク構成を操作しました。これにより、アクセス制御リスト (ACL) をバイパスする SSH 接続を確立し、ターゲット環境内での無制限の移動を許可できるようになりました。

JumbledPath: ステルス作戦のためのカスタムツール

最も懸念される発見の 1 つは、Salt Typhoon が JumbledPath というカスタムビルドツールを使用していることです。このツールは、ステルスネットワーク侵入用に特別に設計されています。この Go ベースの ELF バイナリにより、攻撃者は攻撃者が制御するジャンプホストを介してリモートの Cisco デバイスでパケットキャプチャを実行できます。このツールはシステムログを消去し、ログ記録を完全に無効にすることもできるため、フォレンジック分析が大幅に困難になります。

定期的なログ消去の取り組みにより、活動の可視性はさらに低下します。Salt Typhoon は、痕跡を隠し、長期間にわたって活動が検出されないようにするために、.bash_history、auth.log、lastlog、wtmp、btmp などの重要なログを削除していることが確認されています。

Cisco デバイスの継続的な悪用

Salt Typhoon の活動以外にも、シスコは、公開された Smart Install (SMI) 機能を持つ自社のデバイスが広範囲に標的にされていることも検出しており、CVE-2018-0171 の継続的な悪用につながっています。ただし、シスコは、この活動は Salt Typhoon とは関連がなく、既知の脅威グループとの関連も見られないことを明らかにしています。

組織がこれらの攻撃から防御する方法

Salt Typhoon の活動は持続的な性質を持っているため、組織、特に通信業界の組織は、ネットワークを保護するために積極的な対策を講じる必要があります。推奨される防御策は次のとおりです。

Smart Install (SMI) を無効にする:必要ない場合は、悪用されるリスクを軽減するために SMI をオフにする必要があります。
多要素認証 (MFA) の適用:認証に MFA が必要な場合、盗まれた資格情報の効果は低くなります。

ファームウェアを定期的に更新し、脆弱性を修正する: CVE-2018-0171 は長年知られていましたが、パッチが適用されていないシステムが原因で攻撃者がこれを悪用し続けています。

ネットワークトラフィックの異常の監視:組織は、認証要求、異常な SSH アクティビティ、予期しない構成の変更を注意深く監視する必要があります。

強力なアクセス制御ポリシーの実装:重要なインフラストラクチャへのアクセスを制限することで、攻撃者がネットワーク内で横方向に移動する能力を制限できます。

Salt Typhoon が米国の通信ネットワークに侵入したことは、サイバーセキュリティにおける警戒の重要性を浮き彫りにしています。何年も前の脆弱性を悪用し、認証情報を盗み、長期間にわたって検出されずに潜伏する能力は、脅威の状況が進化していることを示しています。組織は、国家が支援するサイバー脅威によってもたらされるリスクを軽減するために、堅牢なパッチ管理、ネットワーク監視、厳格なアクセス制御などのプロアクティブな防御戦略を優先する必要があります。

エニグマソフトの決済処理会社デジタルリバー社の破産申請は、SpyHunterの顧客のマルウェア対策保護には影響しない

検索

地域を変更