SunBurstマルウェアについて知っておくべきこと

12月8日、セキュリティ企業であるFireEye社は、国家をバックにしたと思われる高度な攻撃グループに侵入され、その結果、同社のレッドチームが開発・使用していたツールが盗まれたことを公表しました。

その後、攻撃者がFireEye社のネットワークに侵入できたのは、「Orion」という人気のITインフラ管理ソフトウェアのアップデートにマルウェアを感染させたためであることが判明しました。OrionはSolarWinds社の製品で、Fortune 500企業の多くや米国財務省など、多くの組織で使用されており、今回のキャンペーンではその影響を受けました。

このマルウェアは、2020年春に配布され、Orionの2019.4 HF 5から2020.2.1までのバージョンを侵害し、検知されることなく数ヶ月間侵入したネットワークに存在していた可能性が高いと考えられます。

このトロイの木馬化したアップデートは、FireEye社が「SunBurst」、Microsoft社が「Solorigate」と名付けたバックドアを配信し、攻撃者はこの攻撃の主な目的であると推測されるデータの窃取を可能にしました。検知されないように、攻撃者はマルウェアの機能を制限し、インストールされたセキュリティソフトウェアを追跡し、SunBurstのネットワーク活動を通常のものに見せかけるために多くの努力をしていました。今回の攻撃は、その範囲の広さ、巧妙さから、国家レベルの豊富なリソースと動機を持つ高度な脅威アクターによるものであることがわかります。

攻撃者たちは、特定の攻撃グループに帰属させることが困難な行動を計画していたと思われますが、サイバーセキュリティおよび情報コミュニティの多くは、これらの攻撃の背後に攻撃グループAPT29、別名「Cozy Bear」が存在すると考えています。在米ロシア大使館は、この告発を否定しました。

「SunBurst」バックドアの物語はまだ始まったばかりであり、おそらく今後数週間でさらに多くのストーリーが追加されるでしょう。また、このマルウェアに感染した多くの組織がその事実に気づき、この情報や、このマルウェアが顧客などに与える影響を公表する可能性もあります。この攻撃とその規模に大きな関心が寄せられていることから、サイバーセキュリティ分野の多くの関係者がこの攻撃を調査し、マルウェアのサンプルを分析する中で、技術的な詳細や行動の証拠がさらに公開されることになるでしょう。

火消しのための活動

前述の通り、攻撃者はFireEye社のレッドチームが顧客のセキュリティをテストするために開発したツールを盗みました。これらのツールは、悪意のある目的にも使用される可能性があるため、FireEye社は、セキュリティベンダーが受託しているネットワークにおいて、盗まれたツールが使用されていることを検知し、防止するためのルールとIoCを公開しました。

さらに、SolarWinds社はアップデートを公開し、危険なバージョンから変更するように、顧客にアップデートを促しました。当社は、お客様とパートナーに、該当する場合はSolarWindsのソフトウェアをアップデートするよう呼びかけています。

Deep Instinct社は、今日の主要なサイバーセキュリティ企業の1つとして、この種の新たな攻撃を常に警戒しており、お客様が直面する可能性のあるあらゆる脅威から確実に保護されるよう、全力を尽くしています。当社は、関連するすべてのIoCを拡大・監視し、Deep Instinct社のサイバーセキュリティ製品群がそれらの攻撃から保護することに注力しています。