中国による米潜入捜査官へのサイバー攻撃の疑い
の脅威調査部門であるBlack Lotus Labsによると、ハッカーは、ISPがネットワーク運用の安全性を確保するために広く使用しているソフトウェアであるVersa Directorのゼロデイ脆弱性を悪用し、米国内外の複数のインターネット企業を侵害した。ルーメン・テクノロジーズ .
ルーメン 攻撃は以下の可能性がある。中国発 .
ルーメンはそう指摘した:
"既知および観察された戦術と技術に基づき、Black Lotus Labsは、CVE-2024-39717のゼロデイ悪用とVersaMemウェブシェルの運用利用を、Volt TyphoonおよびBronze Silhouetteとして知られる中国国家に支援された脅威行為者に中程度の信頼性で帰属させます。"
Lumen'の研究者は、4人の米国人被害者と1人の外国人被害者を特定した。中国 .
この悪用は、パッチが適用されていないVersa Directorシステムに対して有効なままである、と研究者は警告している。
米国サイバーセキュリティ・インフラ・セキュリティ局(CISA)の元エグゼクティブ・ディレクター、ブランドン・ウェールズは、サイバーセキュリティの高度化が進んでいることを強調した。中国のサイバー攻撃 と述べ、サイバーセキュリティへの投資拡大を求めた。
と表現した:
「中国は米国の重要インフラを狙い続けている。ボルト・タイフーンの活動が暴露されたことで、彼らが使っている戦術や技術に変化が生じたことは明らかだが、彼らが米国の重要インフラを侵害しようと日々試みていることは分かっている。
Black Lotus Labsは脆弱性の重大性を強調し、Versa Directorを使用している組織に対し、バージョン22.1.4以降にアップグレードするよう促しました。
中国が疑惑を否定
中国 はこの疑惑を否定し、「Volt Typhoon"は実際には自らをDark Power"と称するランサムウェア・サイバー犯罪集団であり、いかなる国家や地域にも後援されていない」と述べている。
この否定は大使館のリウ・ペンギュ報道官が行なったもので、中国外交部のリン・ジェン報道官も4月15日付のグローバル・タイムズ紙とのやりとりの中でこれを繰り返した。
調査結果によると、Volt Typhoonは、ユーザーのログイン情報を取得するために、VersaMem"として知られる特殊なウェブシェルを利用していた。
Versa Director悪用プロセスとVersaMemウェブシェル機能の概要
VersaMemは、さまざまなプロセスに取り付き、脆弱なサーバーのJavaコードを操作する巧妙な悪意のあるソフトウェアである。
完全にメモリ内で動作するため、特に検出が難しい。
Versa Director サーバーがエクスプロイトの標的に
について操作 Versa Directorサーバーは、インターネット・プロバイダーやマネージド・サービス・プロバイダーで一般的に使用されており、企業のネットワーク管理システムへの侵入を狙う脅威者にとって格好の標的となっている。
バーサネットワークスは月曜日にこの脆弱性を確認し、少なくとも1つの既知の事例で悪用されていることを指摘した;
Lumenによると、VersaMemウェブシェルは、最初の悪用の少し前、6月7日にVirusTotalで最初に検出された。
VersaTest.png(SHA256:4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37)のVirusTotalからのスクリーンショット。
Apache Mavenを使用してコンパイルされたこのマルウェアには、次のようなコメントが含まれていた。中国語 の文字が含まれており、8月中旬の時点ではウイルス対策ソフトに検出されなかった。