TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

インシデント: SolarWinds (まとめ)

【目次】

概要

【概要】
日時 内容
2019年9月 最初の不正アクセス
2019年10月 実験的な攻撃コードが仕込まれる
2020年2月 フル機能を装備したマルウェア「Sunburst」が導入
2020年3月 Sunburstの拡散が開始
2020年5月 「TEARDROP」「Raindrop」などを使った本格攻撃が開始
2020年6月 バックドアを仕込んだSunburstのコードをSolarWinds製品から消去
2020年12月 事件が発覚


■関連マルウェア

マルウェア名 備考
Sunburst
TearDrop
RainDrop
SuperNova
SunShuttle
SolarFlare


■感染方法

  • SolarWinds の Orion のバージョンアップを利用
  • Orionの脆弱性を利用した以外の侵入方法もあり
  • Orionを使用していないくても侵入されたケースもある


■被害企業数

  • マイクロソフトの顧客40社以上が被害 (MSの情報)
  • 80%は米国、残り20%はカナダ、メキシコ、ベルギー、スペイン、英国、イスラエル、アラブ首長国連邦(UAE) (MSの情報)


■攻撃期間

  • サイバー攻撃が始まったのは早くても今年3月(CISAの発表)


■UNC2452の攻撃の特徴

1. Active Directory フェデレーションサービス(ADFS)のトークン署
名証明書を盗み、それを使用して任意のユーザーのトークンを偽造す
る(Golden SAML)。

2. Azure AD で信頼できるドメインを変更または追加して、攻撃者が制
御する新しい連携型 Identity Provider (IdP) を追加する。

3. グローバル管理者やアプリケーション管理者など、高い特権を持つデ
ィレクトリの役割を持つ Microsoft 365 に同期されているオンプレ
ミスのユーザーアカウントの資格情報を侵害する。

4. 電子メールの読み取り、任意のユーザーとしての電子メールの送信、
ユーザーカレンダーへのアクセスなどを行う。


■復旧

  • 不正侵入された環境から脅威を完全に取り除くことは、極めて複雑かつ困難になる
【最新情報】

◆Another Critical RCE Flaw Discovered in SolarWinds Orion Platform  (The Hacker News, 2021/03/25)
[SolarWinds Orionプラットフォームに重大なRCEの不具合が発見される]
https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html
https://malware-log.hatenablog.com/entry/2021/03/25/000000_6

◆SolarWinds patches critical code execution bug in Orion Platform (BleepingComputer, 2021/03/26 09:19)
[SolarWinds、Orion Platformの重大なコード実行バグを修正]
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-code-execution-bug-in-orion-platform/
https://malware-log.hatenablog.com/entry/2021/03/26/000000_2

◆米政権、ロシア関与疑惑のサイバー攻撃への対抗措置決定に近づく  (Bloomberg, 2021/03/30 13:04)
https://www.bloomberg.co.jp/news/articles/2021-03-30/QQR0X0T0G1KY01
https://malware-log.hatenablog.com/entry/2021/03/30/000000_2

◆SolarWinds製品に対する攻撃、ロシアの諜報機関が背後に--米英が公に非難 (ZDNet, 2021/04/16 12:49)
https://japan.zdnet.com/article/35169463/
https://malware-log.hatenablog.com/entry/2021/04/16/000000_1

◆CISAと米国防総省サイバー国家任務部隊、SolarWinds関連マルウェアを分析 (マイナビニュース, 2021/04/18 15:08)
https://news.mynavi.jp/article/20210418-1872743/
https://malware-log.hatenablog.com/entry/2021/04/18/000000

記事

【ニュース】

■2020年

◇2020年12月

◆FireEye reveals that it was hacked by a nation state APT group (BleepingComputer, 2020/12/08 16:58)
[FireEyeは国家国家のAPTグループにハッキングされたことを明らかにした]
https://www.bleepingcomputer.com/news/security/fireeye-reveals-that-it-was-hacked-by-a-nation-state-apt-group/
https://malware-log.hatenablog.com/entry/2020/12/08/000000_1

◆セキュリティ大手FireEyeがハッキング被害に--「国家による攻撃」とCEO (CNet, 2020/12/10 12:18)
https://japan.cnet.com/article/35163631/
https://malware-log.hatenablog.com/entry/2020/12/10/000000_4

◆Suspected Russian hackers spied on U.S. Treasury emails - sources (ロイター, 2020/12/14 03:51)
[ロシアのハッカーが米財務省の電子メールをスパイした疑い - 情報筋]
https://www.reuters.com/article/us-usa-cyber-amazon-com-exclsuive-idUSKBN28N0PG
https://malware-log.hatenablog.com/entry/2020/12/14/000000_4

◆米財務省や商務省に大規模サイバー攻撃 背後にロシア政府か──Washington Post報道 (ITmedia, 2020/12/14 10:18)
https://www.itmedia.co.jp/news/articles/2012/14/news051.html
https://malware-log.hatenablog.com/entry/2020/12/14/000000_3

◆SolarWindsのIT管理製品がAPT攻撃の標的に - 巧妙な隠蔽も (security NEXT, 2020/12/14)
https://www.security-next.com/121668
https://malware-log.hatenablog.com/entry/2020/12/14/000000_2

◆米政府などへの大規模サイバー攻撃はSolarWindsの更新をトロイの木馬化 ユーザーに対処を呼び掛け (ITmedia, 2020/12/15)
https://www.itmedia.co.jp/news/articles/2012/15/news064.html
https://malware-log.hatenablog.com/entry/2020/12/15/000000_2

◆Microsoftが大規模な政府機関へのハッキング問題に対応して攻撃に使われるドメインの押収などを実施 (Gigazine, 2020/12/16 15:30)
https://gigazine.net/news/20201216-microsoft-solarwinds-hack/
https://malware-log.hatenablog.com/entry/2020/12/16/000000_6

◆FireEye, Microsoft create kill switch for SolarWinds backdoor (BleepingComputer, 2020/12/16 16:21)
[FireEye、MicrosoftはSolarWindsのバックドアのためのキルスイッチを作成します]
https://www.bleepingcomputer.com/news/security/fireeye-microsoft-create-kill-switch-for-solarwinds-backdoor/
https://malware-log.hatenablog.com/entry/2020/12/16/000000_2

◆大規模ハッキングにロシアの集団関与の疑い、米政府機関や民間企業の被害相次ぐ (CNN, 2020/12/18 13:45)
https://www.cnn.co.jp/tech/35164081.html
https://malware-log.hatenablog.com/entry/2020/12/18/000000_1

◆米国務長官、SolarWinds悪用の大規模攻撃はロシアが関与と明言 トランプ大統領は「中国かも」とツイート (ITmedia, 2020/12/20 07:09)
https://www.itmedia.co.jp/news/articles/2012/20/news016.html
https://malware-log.hatenablog.com/entry/2020/12/20/000000

◆大規模サイバー攻撃、米ロ対立の新たな火種に (日経新聞, 2020/12/20 09:03)

米民主「事実上の宣戦布告」、ロシア政府「関与せず」

https://www.nikkei.com/article/DGXZQOGN193YZ0Z11C20A2000000
https://malware-log.hatenablog.com/entry/2020/12/20/000000_1

◆米サイバー被害、広がる波紋 トランプ政権ちぐはぐ露呈 (朝日新聞, 2020/12/23 08:15)
https://digital.asahi.com/articles/ASNDQ7TNPNDPUHBI006.html

◆Suspected Russian hackers used Microsoft vendors to breach customers (ロイター, 2020/12/25)
[ロシアのハッカーがマイクロソフトのベンダーを利用して顧客を侵害した疑いがある]
https://www.reuters.com/article/global-cyber-usa-idINKBN28Y1QF
https://malware-log.hatenablog.com/entry/2020/12/25/000000_7

◆米サイバー防衛効かぬ抑止 攻撃疑いのロシア駆け引きも (日経新聞, 2020/12/28 15:00)
https://www.nikkei.com/article/DGXZQOGM22CKI022122020000000
https://malware-log.hatenablog.com/entry/2020/12/28/000000_3

◆何百万台のデバイスに脆弱性発見、うち99.84%がMicrosoftの8つの脆弱性に起因 (マイナビニュース, 2020/12/28 10:24)
https://news.mynavi.jp/article/20201228-1614495/
https://malware-log.hatenablog.com/entry/2020/12/28/000000_6

◆繰り返すロシアの米国介入 サイバー攻撃で再び爪痕 (日経新聞, 2020/12/30 02:00)
https://www.nikkei.com/article/DGXZQOGH221Q9022122020000000
https://malware-log.hatenablog.com/entry/2020/12/30/000000


■2021年

◇2021年1月

◆ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 (Gigazine, 2021/01/03 19:00)
https://gigazine.net/news/20210103-solarwinds-hack-worse-originally/
https://malware-log.hatenablog.com/entry/2021/01/03/000000

◆マイクロソフトのソースコードをSolarWinds悪用のハッカーが閲覧した形跡 (CNet, 2021/01/04 08:18)
https://japan.cnet.com/article/35164530/
https://malware-log.hatenablog.com/entry/2021/01/04/000000_3

◆SolarWinds製品のハッキングはどれほど深刻か (ZDNet, 2021/01/05 13:16)
https://japan.zdnet.com/article/35164607/
https://malware-log.hatenablog.com/entry/2021/01/05/000000_1

◆CISA、SolarWindsの侵害に関する緊急指令21-01の補足ガイダンスを再び更新 (マイナビニュース, 2021/01/08 10:36)
https://news.mynavi.jp/article/20210108-1625420/
https://malware-log.hatenablog.com/entry/2021/01/08/000000_1

◆SolarWindsのビルド中にSunburstを混入させた手口の詳細が明らかに (ITmedia, 2021/01/13 19:19)
https://www.itmedia.co.jp/enterprise/articles/2101/13/news167.html
https://malware-log.hatenablog.com/entry/2021/01/13/000000_6

◆Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される (Gigazine, 2021/01/20 11:54 )
https://gigazine.net/news/20210120-ucn2452-solarwinds-technique/
https://malware-log.hatenablog.com/entry/2021/01/20/000000

◆2021年認証維新が起こる背景を、歴史上最も大きなサイバー攻撃となったSolarWinds事件からみる (クラウドWatch, 2021/01/25 06:00)
https://cloud.watch.impress.co.jp/docs/topic/special/1301088.html
https://malware-log.hatenablog.com/entry/2021/01/25/000000

◆1年以上も検出できなかった「史上最大級の高度な攻撃」、同じ弱点は世界中に (ITmedia, 2021/01/25 11:17)
https://www.itmedia.co.jp/news/articles/2101/25/news064.html
https://malware-log.hatenablog.com/entry/2021/01/25/000000_2

◆Four security vendors disclose SolarWinds-related incidents (ZDNet, 2021/01/26 19:23)
[セキュリティベンダー4社がSolarWinds関連のインシデントを公開]

Mimecast, Palo Alto Networks, Qualys, and Fidelis confirmed this week they were also targeted during the SolarWinds supply chain attack.
[Mimecast、Palo Alto Networks、Qualys、Fidelisは今週、SolarWindsのサプライチェーン攻撃の際にも標的にされたことを確認しました。]

https://www.zdnet.com/article/four-security-vendors-disclose-solarwinds-related-incidents/
https://malware-log.hatenablog.com/entry/2021/01/26/000000_2


◇2021年2月

◆Exclusive: Suspected Chinese hackers used SolarWinds bug to spy on U.S. payroll agency – sources (ロイター, 2021/02/03 03:43)
[独占的に。中国のハッカーと疑われる人物がSolarWindsのバグを使って米国の給与計算機関をスパイしていた - 情報筋]

WASHINGTON (Reuters) - Suspected Chinese hackers exploited a flaw in software made by SolarWinds Corp to help break into U.S. government computers last year, five people familiar with the matter told Reuters, marking a new twist in a sprawling cybersecurity breach that U.S. lawmakers have labeled a national security emergency.
[ワシントン(ロイター) - 中国のハッカーと疑われる人物が昨年、ソーラーウィンズ社製のソフトウェアの欠陥を悪用して米国政府のコンピューターに侵入したと、この件に詳しい5人がロイターに語った]

https://www.reuters.com/article/us-cyber-solarwinds-china/exclusive-suspected-chinese-hackers-used-solarwinds-bug-to-spy-on-u-s-payroll-agency-sources-idUSKBN2A22K8
https://malware-log.hatenablog.com/entry/2021/02/03/000000_2

◆中国人とみられるハッカー団、米政府機関システムに侵入=関係筋 (ロイター, 2021/02/03 11:15)
https://jp.reuters.com/article/cyber-solarwinds-china-idJPKBN2A307N
https://malware-log.hatenablog.com/entry/2021/02/03/000000

◆SolarWinds製ソフトウェアの欠陥を利用したアメリカ政府への新たなハッキングの痕跡が見つかる (Gigazine, 2021/02/03 12:15)
https://gigazine.net/news/20210203-hacker-solarwinds-bug/
https://malware-log.hatenablog.com/entry/2021/02/03/000000_1

◆マイクロソフト、SolarWinds問題の調査完了--Azureなどの一部コード盗難も被害は軽微 (ZDNet, 2021/02/19 12:29)
https://japan.zdnet.com/article/35166740/
https://malware-log.hatenablog.com/entry/2021/02/19/000000

◆Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 (FireEye, 2021/01/19)
[UNC2452に対抗するためのMicrosoft 365の修復と要塞化戦略]
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
https://malware-log.hatenablog.com/entry/2021/01/19/000000_1

◆SolarWinds製品を悪用した攻撃、テクノロジー企業など民間100社近くが被害に (ZDNet, 2021/02/22 12:58)
https://japan.zdnet.com/article/35166814/
https://malware-log.hatenablog.com/entry/2021/02/22/000000_1

◆NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道 (TechCrunch, 2021/02/24)
https://jp.techcrunch.com/2021/02/24/2021-02-23-solarwinds-hackers-targeted-nasa-federal-aviation-administration-networks/
https://malware-log.hatenablog.com/entry/2021/02/24/000000_1

◆米政府サイバー攻撃巡り公聴会、企業トップが証言 (ロイター, 2021/02/24 10:06)
https://this.kiji.is/737114301633789952?c=220450040231249399
https://malware-log.hatenablog.com/entry/2021/02/24/000000


◇2021年3月

◆Another Critical RCE Flaw Discovered in SolarWinds Orion Platform  (The Hacker News, 2021/03/25)
[SolarWinds Orionプラットフォームに重大なRCEの不具合が発見される]
https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html
https://malware-log.hatenablog.com/entry/2021/03/25/000000_6

◆SolarWinds patches critical code execution bug in Orion Platform (BleepingComputer, 2021/03/26 09:19)
[SolarWinds、Orion Platformの重大なコード実行バグを修正]
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-code-execution-bug-in-orion-platform/
https://malware-log.hatenablog.com/entry/2021/03/26/000000_2

◆米政権、ロシア関与疑惑のサイバー攻撃への対抗措置決定に近づく  (Bloomberg, 2021/03/30 13:04)
https://www.bloomberg.co.jp/news/articles/2021-03-30/QQR0X0T0G1KY01
https://malware-log.hatenablog.com/entry/2021/03/30/000000_2


◇2021年4月

◆SolarWinds製品に対する攻撃、ロシアの諜報機関が背後に--米英が公に非難 (ZDNet, 2021/04/16 12:49)
https://japan.zdnet.com/article/35169463/
https://malware-log.hatenablog.com/entry/2021/04/16/000000_1

◆CISAと米国防総省サイバー国家任務部隊、SolarWinds関連マルウェアを分析 (マイナビニュース, 2021/04/18 15:08)
https://news.mynavi.jp/article/20210418-1872743/
https://malware-log.hatenablog.com/entry/2021/04/18/000000

【ブログ】

■2020年

◇2020年12月

◆Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor (Fireeye, 2020/12/13)
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
https://malware-log.hatenablog.com/entry/2020/12/13/000000

◆Dark Halo Leverages SolarWinds Compromise to Breach Organizations (Volexity, 2020/12/14)
[Dark Halo、SolarWindsの妥協を利用して組織に侵入]
https://www.volexity.com/blog/tag/darkhalo/
https://malware-log.hatenablog.com/entry/2020/12/14/000000_7

◆脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について (Paloalto, 2020/12/15 12:10)
https://unit42.paloaltonetworks.jp/fireeye-solarstorm-sunburst/
https://malware-log.hatenablog.com/entry/2020/12/15/000000_4

◆SunBurst: the next level of stealth (Reversing Blog, 2020/12/16)
https://blog.reversinglabs.com/blog/sunburst-the-next-level-of-stealth
https://malware-log.hatenablog.com/entry/2020/12/16/000000_7

◆Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 (FireEye, 2021/01/19)
[UNC2452に対抗するためのMicrosoft 365の修復と要塞化戦略]
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
https://malware-log.hatenablog.com/entry/2021/01/19/000000_1


【検索】

google: Sunburst
google:news: Sunburst
google: TearDrop
google:news:TearDrop
google: RainDrop
google:news: RainDrop
google: SuperNova
google:news: SuperNova

関連情報

【関連まとめ記事】


全体まとめ

◆アプリ (まとめ)
https://malware-log.hatenablog.com/entry/Application


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020