サンフランシスコ — Mandiantは、Aqua Securityの広く使われているオープンソースツールであるTrivyの侵害に関わる、大規模で進行中のサプライチェーン攻撃に対応しています。Trivyはコードリポジトリの脆弱性と設定ミスを検出するために設計されています。
3月19日に最初に検出された一連の攻撃による影響は広範であり、その後の侵害と脅迫的な恐喝の試みに対する実質的なリスクをもたらしています。
「現在のところ、この特定の脅威キャンペーンに積極的に対応している1,000以上の影響を受けたSaaS環境を把握しています」とMandiant Consultingの最高技術責任者であるCharles Carmakalは、RSAC 2026会議と並行して開催された脅威ブリーフィング中に述べました。「その1,000以上のダウンストリーム被害者は、おそらくさらに500、別の1,000、あるいはさらに10,000へと拡大するでしょう。」
攻撃者は、2月下旬にツールのGitHub Actions環境の設定ミスを悪用して、特権アクセストークンを盗み、Trivyのリポジトリ自動化プロセスに足がかりを確立しました。Aqua Securityはブログ投稿でこう述べています。
3月1日、同社は認証情報を変更することで進行中の侵害をブロックしようとしました。その後、試みが失敗したことに気付き、攻撃者は有効なログインを使用してシステムに留まることができました。攻撃者は3月19日にTrivyの悪意のあるリリースを公開しました。
「この活動は最初は孤立した事象に見えましたが、数週間前に始まったより広範なマルチステージのサプライチェーン攻撃の結果でした」とAqua Securityはブログ投稿で述べています。
ツールを侵害することで、攻撃者は多くの組織のシークレットにアクセスしたとCarmakalは述べました。「現在起こっていることの結果として、他の多くのソフトウェアパッケージ、サプライチェーン攻撃、および様々な他の侵害が発生する可能性があります。」
Mandiantは、今後数ヶ月間にわたって広範な侵害の開示、その後の攻撃、および様々なダウンストリームの影響が展開されることを予想しています。
インシデント対応企業がまだ名前を付けていない攻撃者は、主に米国、カナダ、イギリスを拠点とする複数の脅威グループと協力しています。これらのサイバー犯罪者は「恐喝に対して異常に攻撃的であることで知られています」とCarmakalは述べました。「彼らは非常に大掛かりで、非常に攻撃的です。」
Mandiantは依然として初期攻撃の根本原因を特定するために取り組んでいます。「その認証情報がどのようにして盗まれたのかはよくわかりません。なぜなら、それらの認証情報はその被害者の環境から盗まれたのではないと考えられるからです」とCarmakalは述べました。
認証情報は、別のクラウド環境、ビジネスプロセスアウトソーサー、パートナー、またはエンジニアの個人用コンピューターから盗まれた可能性があると、彼は付け加えました。
Aquaは、攻撃を調査し修復支援を行っているSygniaが、日曜日に未認可の変更とリポジトリの変更を含む追加の疑わしい活動を特定したと述べました。この活動は攻撃者の以前に観察された行動と一致しています。
「この展開は、インシデントが進行中で進化している攻撃の一部であり、脅威行為者がアクセスを再確立していることを示唆しています。当社の調査は、すべてのアクセスパスが特定され完全に閉じられたことを検証することに積極的に焦点を当てています」と同社は述べました。
Aquaは、火曜日の最新アップデートで、すべての環境にわたって認証情報の取り消しとローテーションを続けていると述べ、商用製品が影響を受けている兆候はまだないと主張しました。
多くの攻撃者は現在アクセスを兵器化しており、潜在的な恐喝の試みと追加のソフトウェアの侵害をもたらす可能性が高い追加の被害者を対象としているとCarmakalは述べました。
「多くの異なる組織にとって、異なる結果になるでしょう」と彼は述べました。「これは、敵対者と彼らが現在協力しているパートナーの拡大グループの非常に集中的な焦点となるでしょう。」
翻訳元: https://cyberscoop.com/trivy-supply-chain-attack-aqua-downstream-extortion-fallout/
