脅威ハンティングコンテンツ：サンドワームグループによるスパイ活動キャンペーン

破壊的な攻撃で知られるロシアの国家支援サイバースパイ部隊が、重大なセキュリティ脆弱性（CVE-2019-10149）を介して Exim メールサーバーを積極的に侵害しています。5月末に国家安全保障局が サイバーセキュリティアドバイザリー を発表し、Sandworm グループに関連するキャンペーンを警告しました。このグループは最もよく知られているのが BlackEnergy キャンペーン、 Industroyer 攻撃 で、ウクライナの電力網への攻撃と NotPetya の発生、歴史上最も壊滅的なサイバー攻撃の1つです。

Sandworm グループは、Exim ソフトウェアを使用して被害者を攻撃します。これらは「MAIL FROM」 フィールドにコマンドを送信する SMTP（単純メール転送プロトコル）メッセージを介します。CVE-2019-10149 の脆弱性が成功裏に悪用されると、敵は任意のコードを実行できるようになります。この脆弱性が悪用されると、被害者のマシンは攻撃者所有のドメインからシェルスクリプトをダウンロードし実行します。これにより、特権ユーザーを追加し、ネットワークセキュリティ設定を無効にし、SSH 構成を更新して追加のリモートアクセスを有効にしようとします。攻撃の間に Sandworm グループは 他の脆弱性 を Exim メールサーバーで悪用します：CVE-2019-10149、CVE-2019-15846、および CVE-2019-16928。このグループは少なくとも2019年8月以降、この方法で未修正のメールサーバーを悪用しています。

Osman Demir によってリリースされたコミュニティ脅威ハンティングルールは、Sandworm グループによって行われた Exim サーバーへの攻撃を検出します： https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1

このルールは次のプラットフォームに対応しています：

SIEM：ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、Logpoint、Humio、

EDR：Carbon Black、Elastic Endpoint

MITRE ATT&CK：

戦術：初期アクセス

技術：公に向けたアプリケーションの悪用（T1190）