サイバースパイグループ「APT33」の最大被害者となった漏洩されたConfluence
マイクロソフトは独自ブログを通じて、2023年9月14日イランのあるサイバースパイ団体がアメリカと世界中にある数千の組織を対象に パスワードスプレー (Password Spraying)攻撃を実行したと公開しました。代表的に APT33 またはPeach Sandstorm、HOLMIUM、Refined Kittenという様々な名称で活動するこの専門のスパイグループは、2013年から活動を続けながらアメリカ、サウジアラビア、韓国の多様な業界の機関を含めて世界中にある数千の機関を攻撃してきました。当グループが2023年2月から7月まで使用した代表的エクスプロイトは、パスワードスプレー攻撃であり、単一のパスワードまたは一般的に使用されるパスワードの一覧を使って多数のアカウントにログインを試みる攻撃手口です。 APT33は、パスワードスプレー攻撃で防衛、衛生、製薬関係の組織のアカウントをハッキングおよび乗っ取りして敏感な情報を成功的に奪い取りました。 パスワードスプレー攻撃集団のもう一つの被害者、漏洩されたConfluence APT33ハッカーグループは、パスワードスプレー攻撃以外にもパッチ未適用のまま漏洩されたコンフルエンス(Confluence)を対象にした攻撃も実行し、ネットワークを侵害したそうです。 コンフルエンス(Confluence)は、アトラシアン(Atlassian)が開発した協業プラットフォームであり、チームと組織内での作業・変更事項をリアルタイムで追跡できるドキュメント作業の管理ツールです。コンフルエンスは、様々なプラグインとの統合機能を提供し、ユーザーの要請に応じて拡張できます。その点を通じて個人の作業スタイルに合わせてコンフルエンスを利用でき、他のツールとの連動も可能です。しかし、このような利点を利用して一度ハッカーが内部に侵入してきたら、多様な情報を奪い取られる可能性があるため、コンフルエンスはハッカーの良い攻撃ターゲットとして挙げられています。2022年、世界的にサイバーセキュリティ業界を震撼させるほど大きなイシューであったConfluenceゼロデイ脆弱性以来、今はどれほど多くのコンフルエンス・アプリケーションが外部に漏洩されているかを調べてみます。 Criminal IPに検知された漏洩されたコンフルエンスのIPアドレス、443ポートにコンフルエンスのログインページが漏洩されていた インターネットに漏洩されたコンフルエンスが6,600件以上発見された 次はCriminal IPのIT資産検索に特定技術が適用されたデバイスを探すtech_stackフィルターを利用してアトラシアン・コンフルエンスを検索した結果です。外部に漏洩されたアトラシアン・コンフルエンスが適用されたデバイスが6,600個以上発見されました。 漏洩されたコンフルエンスのサーバーが全て攻撃に脆弱だとは言えませんが、認証バイパスやRCEなどの脆弱性の脅威にもさらされている場合は非常に危険な状態だと言えます。コンフルエンスは企業・機関の重要情報が一ヶ所に集まっていて一度の攻撃でも非常に大きな被害を受ける可能性があります。新しいバグと脆弱性はいつでも見つかれるので、そもそもコンフルエンスを使う企業や機関は、内部コンフルエンスに対する外部のアクセスを完璧にブロックしなければなりません。 Search Query: