2021年3月、Microsoftは中国のハッキンググループ「HAFNIUM」による大規模な攻撃にオンプレミス版のMicrosoft Exchange Serverの4つのゼロデイ脆弱性が利用されたことについてアドバイザリを発表し、修正プログラム(パッチ)の緊急公開を開始しました。この4つのゼロデイ脆弱性のうち、CVE-2021-26855に該当するSSRF(サーバーサイドリクエストフォージェリ)の脆弱性は、バグを発見したDEVCOREのリサーチャーによって「ProxyLogon」と名付けられました。
2020年10月にこの脆弱性が発見されて以来、該当のパッチ未適用のシステムを狙う攻撃が続いています。トレンドマイクロでは、ProxyLogonの脆弱性を利用する3つのマルウェアファミリを2021年3月から確認しています。「LemonDuck」と呼ばれるコインマイナーが最初に確認され、その後間もなくランサムウェア「BlackKingdom」、そしてボットネット「Prometei」が続きました(図1)。
図1:BlackKingdom、Prometei、LemonDuckの感染経路
続きを読む