Early Warning Report Sep

注意喚起レポート④[更新]Apache Struts2 のリモートコード実行の脆弱性を悪用した攻撃に関与するハッカーグループを検知。PsionApache2エクスプロイトのソースコードのスナップショットも取得。緊急度 致命的。

 

"HACKERS PREPARING TO LAUNCH ATTACKS AGAINST SUSCEPTIBLE APACHE STRUTS 2 SYSTEMS"

 

Antuitサイバーインテリジェンスリサーチチーム(ACIRT)が、先月より予兆を検知していたAPACHE STRUTS 2 のリモートコード実行の脆弱性(CVE-2018-11776)を悪用する攻撃にロシア系ハッカーグループとみられるBOLIC14が、Bleeding Thunderキャンペーンの一環として、PsionApache2エクスプロイトを使用して、極めて多い件数の脆弱なアプリケーションを標的にしている状況であることを検知しました。

ハッカー達はすでに大規模な偵察キャンペーンを実行し、34,461件もの脆弱なターゲット/アプリケーションを特定したと主張しています。

ACIRTはさらに、ハッカーたちの会話から、複数のサイバー犯罪者や国家支援型のハッカーグループが本攻撃に関心を示していることや金融・通信・テクノロジー・公共インフラ各業界の企業を標的にしようとしていること、そしてMetasploitフレームワークを利用してRudyで書かれた”PsionApache2”エクスプロイトのソースコードスナップショットも取得しています。ハッカーたちの主目的はリモートコード実行によって、"PsionApache2.exe"をエクスプロイトキットもしくは、マルウェアとしてインストールし、データを搾取することのようです。早急にレポートに記載の予防措置を取ることをお勧めします。

 

詳細はレポートをダウンロードの上ご確認ください。(2018.9.19版)