日本のAndroidユーザーがマルウェア「MoqHao」の標的に|アナリストチョイス 2021年9月 | codebook - セキュリティ情報専門News - by MachinaRecord

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > Analyst's Choice > 日本のAndroidユーザーがマルウェア「MoqHao」の標的に|アナリストチョイス 2021年9月

日本のAndroidユーザーがマルウェア「MoqHao」の標的に|アナリストチョイス 2021年9月

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

 

Articles

Article.1

日本のAndroidユーザーがマルウェア「MoqHao」の標的に

 

Article.2

Ciscoの企業用製品が重大な欠陥の影響受ける

 

Article.3

「マイクロソフトサービスの期限切れ」通知するフィッシングメール

 

日本のユーザー狙うマルウェア「MoqHao」

2021年4月〜6月に活動を観測

2021年の4月から6月にかけて、 Team Cymruの研究者らは日本のユーザーを標的としたMoqHaoマルウェアのキャンペーンを観測しました。MoqHaoはSMSフィッシングを利用しAndroid端末を感染させるもので、韓国や台湾を標的としていることでも知られています。

NTTドコモ装う文字列を使用

MoqHaoマルウェアは、ダイナミックDNSサービスであるDuck DNSを通じて作成されたドメインを、第一段階の配布インフラとして使用しています。また、ランダムに作成された文字列と、日本の携帯電話会社NTTドコモ等の関連組織を装った文字列を、混合して使用しています。

被害者は東京、京都、大阪、名古屋、福岡に

運営担当者は、平均14日ごとにIPアドレスをローテーションしつつ、複数のドメイン(こちらは、より頻繁に更新される)をホストすることで、個々のドメイン名に基づくブロックリストを回避しています。あるプロバイダー(韓国のHDTIDC Limited)に割り当てられた複数のマルウェア配信サーバーには、潜在的な被害者による接続が一日約200〜300回行われていました。被害者の多くは東京、京都、大阪、名古屋、福岡といった人口の多い地域にいます。その他のサーバーは、ウクライナのOphidian Network Limitedおよび米国のZenlayer Incによってホストされています。

 

情報源:

https://team-cymru.com/blog/2021/08/11/moqhao-part-1-5-high-level-trends-of-recent-campaigns-targeting-japan/?_hsmi=149939174&_hsenc=p2ANqtz-8i35HrlwICX38cNTg0cysDNmkERR2Ztx3HtiM41T34zGMrW6XFf0wBwB5sPc6c8vPO-FWgB0HUgT-atmrhF_sbiQiEQQ

 

アナリストのコメント

影響範囲

日本のAndroidユーザー

 

見解

この脅威アクターの主要な戦術は「スミッシング」です。スミッシングとは、携帯電話のテキストメッセージ上で実行されるフィッシング攻撃です。今回のケースでは、同脅威アクターはユーザーをだまし、Androidマルウェアをダウンロードするリンクをクリックさせようとしています。

 

スマートフォン関連の攻撃は増え続けていますが、これはおそらく、スマートフォン保有が増えたことや、プライベートとビジネス両方での利用が増えて攻撃成功の価値が高まっていることが原因です。

 

緩和戦略

現時点で推奨されるのは、SMSメッセージで勝手に送りつけられるURLにアクセスしないこと、それから最新のウイルス対策アプリです。

 

今回の脅威アクターはIPアドレスを14日ごとにローテーションしているため、これらのアドレスをIoCとしてセキュリティ・ソリューションに加えることは、それほど効果的な対抗策ではありません。

 

Ciscoの企業用製品が重大な欠陥の影響受ける

CVE-2021-34730

Cisco Business RV110W、RV130、RV130W、RV215WルータのUPnP(ユニバーサルプラグアンドプレイ)サービスの欠陥(CVE-2021-34730)により、権限のないリモートの攻撃者が任意のコードをroot権限で実行したり、サービス拒否を引き起こしたりできるようになる恐れがあります。この欠陥に対するワークアラウンドはありません。また、これらの製品はエンド・オブ・ライフ(販売/サポート終了)プロセスに入っているため、同社はソフトウェアアップデートをリリースしていません。

CVE-2021-22156

さらにCiscoは、最近公表されたBlackberry QNXの重大な欠陥(CVE-2021-22156)によって、どのデバイスおよびサービスが影響を受けたのかを特定するため、現在自社の製品ラインを調査中であることを明らかにしました。この欠陥を悪用することで、任意のコードを実行したり、サービス拒否を引き起こしたりすることが可能になる恐れがあります。

 

情報源:

1.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-sb-rv-overflow-htpymMB5?_hsmi=151211072&_hsenc=p2ANqtz-8IaLEp3UDiz7a2XFLfUUmAV7Vo5DOEGNukqQ-HeGRYjw7TnXyH0Oa5uSzesDpm06uhhyVl_wdIseqQT0NQ5U8YRoyWGA

2.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-qnx-TOxjVPdL?_hsmi=151211072&_hsenc=p2ANqtz-_GZS_CEGiBcTkKe6tHTRlBwfxbeqcDGNtr0SrzTI9VPP16OrXpM8nInVh-uuuXuxS1Kc4k–QY8k9J18vQSIv-pKaB3w

3.https://securityaffairs.co/wordpress/121277/hacking/cisco-cve-2021-34730-remains-unpatched.html

 

アナリストのコメント

影響範囲

以下のいずれかを使用しているCiscoの顧客。

 

◆RV110W Wireless-N VPN ファイアウォール

◆RV130 VPNルータ

◆RV130W Wireless-N 多機能 VPN ルータ

◆RV215W Wireless-N VPNルータ

 

見解

CVE-2021-34730には、共通脆弱性評価システムで9.8(critical)というスコアが付けられています。しかしCiscoは、現時点ではこの欠陥を悪用した実際の攻撃を認識していない、と述べています。

 

緩和戦略

メーカーのサポート期間が終了になるソフトウェアやハードウェアは、可能な限り交換しましょう。

 

ソフトウェアやハードウェアには、「エンド・オブ・ライフ(EOL)」という期限があります。これは、元のメーカーからセキュリティなどに関する変更や改善を受けられなくなる期限日を指します。デバイスがEOLに達したからといって、そのデバイスが最も安全なバージョンになっているという意味ではありません。むしろ、そのデバイスはワークアラウンドやサードパーティーの手段によって防護する必要のある、一生消え去ることのない無期限の脆弱性になってしまったことを意味します。

 

Ciscoはまた、デバイスのLAN・WAN両インターフェース上のUPnPを無効にすることを顧客に推奨しています。「この緩和策はテスト環境で実践され、有効であることが証明されましたが、お客様はご自身の環境内の、独自の使用条件下で適用可能か、そして有効であるかを判断する必要があります」。

 

「マイクロソフトサービスの期限切れ」通知するメール

正体は、認証情報狙うフィッシングメール

Cofenseの研究者は、受信者の「Microsoft 365 Business Basic」が期限切れであることを通知するフィッシングメールを特定しました。このメッセージには、侵害されたセルビアのニュースサイトをホストとする、マイクロソフトを装ったフィッシングサイトへのリンクが含まれています。自身のクレデンシャル(認証情報)を入力した被害者はその後、本物のマイクロソフトのドメインにリダイレクトされます。

 

情報源:

https://cofense.com/blog/office-365-phishing-variant/?_hsmi=146780744&_hsenc=p2ANqtz–I8Vy1BCYTs7XF9kylVKbcMKS612k3R8ujclqRzF0DrAObf2MmxoYTM2sx9tB4fpSPzCV1FIOGP-wTJu_A0fC6irXKyw

 

アナリストのコメント

影響範囲

このキャンペーンは全ての人を標的にしています。マイクロソフトのサブスクリプション・サービスの元利用者は、だまされるリスクが特に高いです。

 

見解

このフィッシングメール自体にはスペルや文法上の不自然な箇所がある程度含まれるものの、「onmicrosoft.com」という文字列が送信者アドレスのドメインに含まれており、それだけで一部のユーザーは、このメールが本物の送信源からのものだと納得してしまうかもしれません。

 

緩和戦略

今回のフィッシングキャンペーンに関しては、以下の表内のインジケーターをご自身のセキュリティ・ソリューションに加えることで、ユーザーによる同フィッシングサイトへのアクセスを不可能にすることができるでしょう。

 

URL:

hXXps://www[.]sipovo[.]net/mylicence/access[.]php

IP:

192[.]185[.]116[.]181

*上記のIoCは、安全性を高めるためにサニタイジングされています。

 

ユーザーは、自身が遷移される先のURLに常に注意する必要があります。そして、そのURLが少しでも疑わしい場合には警戒しなければなりません。