サイバースパイグループ「APT33」の最大被害者となった漏洩されたConfluence

2023.09.22 02:27

マイクロソフトは独自ブログを通じて、2023年9月14日イランのあるサイバースパイ団体がアメリカと世界中にある数千の組織を対象にパスワードスプレー（Password Spraying）攻撃を実行したと公開しました。

代表的にAPT33,、またはPeach Sandstorm、HOLMIUM、Refined Kittenという様々な名称で活動するこの専門のスパイグループは、2013年から活動を続けながらアメリカ、サウジアラビア、韓国の多様な業界の機関を含めて世界中にある数千の機関を攻撃してきました。

当グループが2023年2月から7月まで使用した代表的エクスプロイトは、パスワードスプレー攻撃であり、単一のパスワードまたは一般的に使用されるパスワードの一覧を使って多数のアカウントにログインを試みる攻撃手口です。

APT33は、パスワードスプレー攻撃で防衛、衛生、製薬関係の組織のアカウントをハッキングおよび乗っ取りして敏感な情報を成功的に奪い取りました。

パスワードスプレー攻撃集団のもう一つの被害者、漏洩されたConfluence

APT33ハッカーグループは、パスワードスプレー攻撃以外にもパッチ未適用のまま漏洩されたコンフルエンス（Confluence）を対象にした攻撃も実行し、ネットワークを侵害したそうです。

コンフルエンス（Confluence）は、アトラシアン（Atlassian）が開発した協業プラットフォームであり、チームと組織内での作業・変更事項をリアルタイムで追跡できるドキュメント作業の管理ツールです。コンフルエンスは、様々なプラグインとの統合機能を提供し、ユーザーの要請に応じて拡張できます。その点を通じて個人の作業スタイルに合わせてコンフルエンスを利用でき、他のツールとの連動も可能です。しかし、このような利点を利用して一度ハッカーが内部に侵入してきたら、多様な情報を奪い取られる可能性があるため、コンフルエンスはハッカーの良い攻撃ターゲットとして挙げられています。2022年、世界的にサイバーセキュリティ業界を震撼させるほど大きなイシューであったConfluenceゼロデイ脆弱性以来、今はどれほど多くのコンフルエンス・アプリケーションが外部に漏洩されているかを調べてみます。

Criminal IPに検知された漏洩されたコンフルエンスのIPアドレス、443ポートに
コンフルエンスのログインページが漏洩されていた

インターネットに漏洩されたコンフルエンスが6,600件以上発見された

次はCriminal IPのIT資産検索に特定技術が適用されたデバイスを探すtech_stackフィルターを利用してアトラシアン・コンフルエンスを検索した結果です。外部に漏洩されたアトラシアン・コンフルエンスが適用されたデバイスが6,600個以上発見されました。

漏洩されたコンフルエンスのサーバーが全て攻撃に脆弱だとは言えませんが、認証バイパスやRCEなどの脆弱性の脅威にもさらされている場合は非常に危険な状態だと言えます。コンフルエンスは企業・機関の重要情報が一ヶ所に集まっていて一度の攻撃でも非常に大きな被害を受ける可能性があります。新しいバグと脆弱性はいつでも見つかれるので、そもそもコンフルエンスを使う企業や機関は、内部コンフルエンスに対する外部のアクセスを完璧にブロックしなければなりません。

検索クエリ：tech_stack: "Atlassian Confluence"

Criminal IPの要素分析機能で上記のようにtech_stack: “Atlassian Confluence”クエリを検索してインターネットに漏洩されたコンフルエンスを使用している国の統計を確認いただけます。

総74国が漏洩されたコンフルエンスを使用していることが確認されました。そのうち、アメリカが1,993件で使用量が最も多く、ドイツが1,495件、中国が453件でその後を継ぎました。

https://www.criminalip.io/ja/intelligence/element-analysis/search?query=tech_stack%3A%22Atlassian+Confluence%22&category=asset&element=country

今回のハッキング事件の主犯であるAPT33グループは、一般的に広く使われるコンフルエンスをネットワークにアクセスするための経路の一つとして悪用しました。ソフトウェアとシステムのセキュリティパッチを最新状態で維持することと外部に漏洩されたデバイスを点検することがいかにも大事なことであるかを改めて思い知らせる事例です。

アトラシアンの公式サイトやセキュリティ関連のニュースを通じて最新情報を確認することが重要です。また、Criminal IPのようなCTI検索エンジンを通じて使用中のデバイスおよびアプリケーションの漏洩、脆弱性をモニタリングすることで事前に攻撃を防げます。

関連しては2022年発生したConfluenceゼロデイ脆弱性に関する投稿をご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。

只今Criminal IPの無料アカウントを作成すると、レポートに引用された検索結果を自ら確認するか、より膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供：Criminal IP (https://www.criminalip.io/ja)

ご参照：

https://blog.criminalip.co.jp/posts/42020426?categoryIds=7685501

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

1000 / 1000