headless 曰く、

Avastは21日、同社のネットワークがサプライチェーン攻撃を受けていたことを明らかにした(Avastのブログ記事、 Computingの記事)。

9月23日に同社ネットワークでの怪しいふるまいを確認したAvastはチェコの情報機関や外部のフォレンジックチームなどと協力して調査を開始。10月1日には以前誤検知として処理されていたMicrosoft Advanced Threat Analytics(ATA)の警告が実際の攻撃だったことが確認されたという。警告は同社のVPNアドレス範囲に含まれる内部IPアドレスから悪意あるディレクトリサービスの複製が行われているというもの。攻撃者は特権昇格を成功させ、該当ユーザーに割り当てられていなかったドメイン管理者の権限を取得していたそうだ。分析の結果、攻撃者は侵害された複数の認証情報を用い、誤って保持されていた二要素認証を必要としないVPNの一時プロファイルを通じて5月14日には内部ネットワークにアクセスしていたことが判明する。

サプライチェーン攻撃のターゲットは2017年にも被害を受けたCCleanerとみられ、9月25日にはCCleaner新バージョンの公開を一時中止して過去のリリースが改変されていないことを確認。念のためクリーンなアップデートに再署名し、10月15日に自動更新でユーザーに提供開始した。これまで使用していた証明書は失効させ、内部のユーザーの認証情報もすべてリセットし、監視のため生かしてあったVPNの一時プロファイルも削除したという。ネットワークとシステムのセキュリティの見直しは引き続き行い、さらなるログの調査も実施するとのことだ。