CVE-2020-14871: UNC1945ハッカーは企業ネットワークに対してSolarisOSゼロデイを使用します

にマーティン・ベルトフ | Last Update: 11月 3, 2020 | 0 コメントコメント

最近発見されたハッキンググループ, UNC1945と呼ばれる, SolarisOSコンピュータに対してこれまで知られていなかったゼロデイ脆弱性を使用することが判明しました.

オラクルが所有するオペレーティングシステムは、主に複雑なエンタープライズ設定の大企業によって使用されます. でも, このゼロデイバグにより、犯罪者は内部ネットワークに侵入することができました. 利用可能なすべての情報は、CVE-2020-14871アドバイザリで追跡され、セキュリティコミュニティによって監視されます.

UNC1945ハッキンググループがCVE-2020-14871で追跡されたゼロデイバグでSolarisシステムに対抗

Solarisオペレーティングシステムは、主に複雑なビジネスネットワークに導入されているエンタープライズサービスです。. これは、従来のUNIXライクな構造に基づいているため、さまざまな目的に使用できます。: 複雑な計算を実行する, ネットワーク設定の管理, またはデータを提供する.

UNC1945として知られるハッキンググループは、企業ネットワークの背後にあるSolarisサーバーに対してさまざまな種類の攻撃を利用していることが判明しています。. 現時点では、ハッカーについてはあまり知られていません, 彼らがこれまで知られていなかった脆弱性を利用することに成功したという事実を除いて, ゼロデイバグと呼ばれます. この危険な違反を示すセキュリティレポートは、マンディアントの研究チームからのものです. 同様の環境に対する攻撃が増加しています. 最近、私たちはハッキンググループはSynologyデバイスを標的にしています. 彼らのオペレーティングシステムはLinuxディストリビューションの派生物です.

侵入のポイントは、オペレーティングシステムで使用される認証手順のバイパスです。, 障害は犯罪者によって検出され、と呼ばれるバックドアモジュールをインストールすることを許可しました どたばた喜劇 システムに. 感染が始まると自動的に起動します, そしてそれはそれ自身の行動を実行します. 対象となるコンピューターは、より広いインターネットにさらされているコンピューターでした。.

でも, このカテゴリの他のほとんどの脅威のように侵入を続ける代わりに, ハッカーはマルウェアに、別のはるかに損害を与える方法で続行するように指示しました.

UNC1945ハッカーはSolarisホストに対して複雑な感染技術を使用します

SLAPSTICKバックドアを利用してハッカーが制御するサーバーへの永続的な接続を作成することにより、感染を継続する代わりに, ハッカーは別のルートに行くことを選択しました. ハッキンググループは、注目度の高いターゲットを標的にしているようです, 彼らは非常に複雑なものを作成したので セキュリティバイパス手順 これは、システムおよびユーザーがインストールしたプログラムによって講じられた保護対策を克服するように設計されています: マルウェア対策スキャン, ファイアウォール, および侵入検知システム. 検出を回避するには, 悪意のあるシーケンスは、QEMU仮想マシンホストをダウンロードしてインストールします. その中, Linuxディストリビューションのハッカーが作成したイメージが実行されます.

この仮想マシンは、犯罪者がアクセスでき、犯罪者によって事前構成されているため、, ユーティリティに含まれるすべてのものを実行できるようになります. 分析により、それらはネットワークスキャナーでいっぱいであることがわかりました, パスワードクラッキングプログラム, およびその他のエクスプロイト. 仮想マシンはホストシステムに公開され、ハッカーが仮想マシンに対してコマンドを実行できるようになります, 内部ネットワークで利用可能な他のコンピュータと同様に. 危険な要因は、攻撃があらゆる種類のオペレーティングシステムに対して行われる可能性があることです。, MicrosoftWindowsおよびその他のUNIXベースのシステムを含む.

侵入の考えられる結果には、次の悪意のあるアクションが含まれます:

ログの削除 — 特別なマルウェアプログラムを使用して、ウイルスアクションのログを削除します.
ラテラルブルートフォース — インストールされた仮想マシンから、ハッカーはさらに続行できます “クラッキング” 展開されたツールを使用する内部ネットワーク上の他のコンピューター.
ファイルアクセス — マルウェアがアクセスできるすべてのデータは、ハッカーによって盗まれる可能性があります.
コントロール — ハッカーはホストの制御を引き継ぎ、ユーザーを直接スパイすることができます.

現時点では、UNC1945ハッカーがハッカーの地下市場の売り手からエクスプロイトを購入したと考えられています. ハッカーが使用したツール (EVILSUN) おそらくこれらの場所から取得されます, 犯罪者がエクスプロイトを実行し、バックドアを仕掛けることができました.

もちろん, このマルウェア活動の次のニュース, オラクルは10月にこの問題にパッチを当てました 2020 セキュリティアップデート速報. 現時点では、感染したホストの数に関する情報はありません. すべてのSolaris管理者は、最新の更新を適用して、ハッカーがシステムでエクスプロイトを試みるのを阻止するように促されます。.