APT35がProxyShellの脆弱性を利用して複数のWebShellを展開する

[post-views]
3月 28, 2022 · 6 分で読めます
APT35がProxyShellの脆弱性を利用して複数のWebShellを展開する

過去数か月間、研究者によってイランの国家支援APT35攻撃の新たな爆発が観察されています。新しい 研究 によると、 APT35(別名 TA453、COBALT ILLUSION、Charming Kitten、ITG18、Phosphorus、Newscaster)は Microsoft Exchange ProxyShellの脆弱性を 初期アクセスに悪用し、アクセスを得た後に被害者ネットワークでさまざまな攻撃手法を利用しています。

下にスクロールして、ProxyShellエクスプロイト中および後のAPT35の最新の活動を識別するのに役立つ最新の検出ルールをご覧ください。

APT35攻撃の検出 ProxyShellを含む

APT35は、Microsoft Exchange ProxyShellの脆弱性を初期アクセスキャンペーン後に単純に悪用するだけで止まりません。以下のルールは、我々の脅威バウンティ開発者であるFurkan Celik、Osman Demir、Nattatorn Chuensangarun、Aytek Aytemurが作成したWebshellの実行、脅威の持続、資格情報アクセスを特定するためのものです。我々のプラットフォーム上でアカウントにログインして、Sigmaルールおよび20以上のベンダー固有形式への翻訳を迅速に展開できるようにアクセスしてください。

Webshellの実行でProxyShellエクスプロイト後のAPT35初期アクセスの可能性(ps_script経由)

スケジュールタスク追加でProxyShellエクスプロイト後のAPT35持続の可能性(cmdline経由)

comsvcs.dllを使用したlsass.exeメモリのダンプでAPT35資格情報アクセスの可能性(cmdline経由)

Microsoft Exchange管理スナップインでの接続性テストによるAPT35実行の可能性(cmdline経由)

これらのルールは、MITRE ATT&CK®フレームワークv.10の以下の技法に対応しています:公開面しているアプリケーションのエクスプロイト、スケジュールされたタスク/ジョブ、システム情報の発見、資格情報アクセス用エクスプロイト、OS資格情報のダンプ。

また、以下のルールは、事後のエクスプロイトの戦術が引き金になる前にProxyShellの脆弱性のエクスプロイトを検出するのに役立ちます:

Exchange ProxyShellパターン

Exchange ProxyShell攻撃の成功

CVE-2021-34473 Exchange Server RCE(Proxyshell)

APT35の戦術の最新の変化に関連する最新の検出コンテンツを確認するには、以下のボタンをクリックしてください。また、共有したい追加の発見がある場合は、自分自身の検出ルールを提出することによって、私たちのクラウドソーシングイニシアティブに参加することが推奨されます。

検出を見る 脅威バウンティに参加する

ProxyShellの脆弱性のエクスプロイト

ProxyShellの脆弱性(CVE-2021-31207,CVE-2021-34523,CVE-2021-34473) は、Microsoft Exchangeでリモートコード実行を可能にします。これらはOrange Tsaiセキュリティ研究者によって詳細に説明され、最初に2021年4月のバンクーバーのPwn2Ownハッキングコンテストで明らかにされました。

最近、APT35のハッカーがProxyShellのエクスプロイトを利用して悪意のある目的を達成するのが確認されました。特に、研究者はAPT35が初期アクセスおよびさらなる活動のために自動化されたスクリプトを使用していることを示唆しています。なぜなら、同じコマンドのシーケンスと性質が短期間に異なるケースで繰り返されていたからです。

攻撃の初期段階では、敵対者はWebシェルをアップロードし、任意のアンチウイルスソフトウェアを無効にします。その後、2つの持続性手法を使用します:スケジュールされたタスクと新しく作成されたアカウントです。後者はローカル管理グループとリモートユーザーに追加されます。

その後すぐに、攻撃者はnetやipconfigなどのWindowsネイティブプログラムを利用して環境を列挙し、LSA保護を無効にし、WDigestを有効にし、LSASSプロセスメモリをダンプし、Webシェルを使用して結果をダウンロードしました。

新たに発生する脅威に常に先んじるために、組織は協力的な防御アプローチに目を向けています。最も明るいサイバーの頭脳によって提供される専門知識の力を活用し、サインアップして SOC PrimeのDetection as Code プラットフォームへ参加してください。SOCオペレーションを合理化し、脅威検出をより迅速かつ簡単で効率的に行いましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース