「Pingback」と呼ばれる新たなマルウェアを分析 C&C検出回避のためICMPを利用 | サイバーアラート 2021年5月6日 | Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog > Articles > Cyber Alert > 「Pingback」と呼ばれる新たなマルウェアを分析 C&C検出回避のためICMPを利用 | サイバーアラート 2021年5月6日

「Pingback」と呼ばれる新たなマルウェアを分析 C&C検出回避のためICMPを利用 | サイバーアラート 2021年5月6日

サイバーアラートについて

マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する、サイバーセキュリティ関連記事のダイジェストを翻訳し、ほぼ毎日更新しています。データ漏えいインシデントの実例や、マルウェア・脆弱性・ハッカーグループの動向、現在進行中のサイバー攻撃などを取り上げています。

 

各記事の末尾に情報源のサイトへのリンク(赤字)が貼られています。

(リンク先のほとんどが英語のニュースサイト、ブログ、ツイッター投稿ですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。)

 

以下、翻訳です。

 

2021年5月6日

マルウェア・脅威アクタートレンド

 

表の見方(訳者注)

「Name」:マルウェアおよび脅威アクターの名称

「Heat 1」:過去24時間のニュースにおける注目度(*)を4段階で示します。

「Heat 7」:過去1週間のニュースにおける注目度(*)を4段階で示します。

*過去30日間の平均と比較して高ければ赤が増え、低ければ青が増えます。

「Vol 1」:過去24時間に出された記事の中で、言及された回数を示します。

「Vol 7」:過去1週間に出された記事の中で、言及された回数を示します。

 

 

データ流出

暗号通貨取引所Hotbit がハッキングされたことを認める – 顧客の個人データが流出

Seclists.org – Data Loss – May 05 2021 15:36

5月5日にDestry Winant氏が投稿…

 

運動器具メーカーPeloton社のオープンAPIがユーザーデータを公開

SiliconANGLE – May 06 2021 02:59

インタラクティブ・運動器具メーカー Peloton Interactive Inc. のアプリケーション・プログラミング・インターフェースが、個人アカウントを含むユーザーデータを公開状態にさせていたことが判明し、同社がデータ漏洩被害に遭った可能性が出てきた。この事実は、…

 

Peloton の酷くて救いようのない本当に最悪な1日が、データ漏洩でさらに悲惨な日に 

arstechnica – Twitter – May 05 2021 21:10

Pelotonの酷くて救いようのない本当に最悪な1日が、データ漏洩でさらに悲惨な日に…

hxxps://arstechnica[.]com/gadgets/2021/05/peloton-takes-3-months-to-fix-flaw-that-exposed-users-private-information/?utm_brand=arstechnica&utm_source=twitter&utm_social-type=owned&utm_medium=social by @dangoodin001

 

Faxton St. Luke’s Healthcareの患者情報が流出 17,655人の患者に関する限定的なデータを含む

DataBreaches.net – May 05 2021 23:30

Faxton St. Luke’s Healthcareが、ビジネスパートナーであるCaptureRxでのデータ漏洩により、約18,000人の患者が影響を受けたことを明らかにしたと、WKTVが報道した。 この漏洩は2月6日に発生し、Faxtonは3月30日に通知を受けた…

 

 

ハッカー集団

活動中のAPTグループ:「XDSpy」と「Sandworm」

CyberNews – Security – May 05 2021 11:38

数多くの高度標的型脅威(APT)グループが政府や民間企業を攻撃してきた…

 

WHOを装う大規模な詐欺が発覚 – 犯人は「DarkPath Scammers」グループか?

SecurityBrief Asia – RSS – May 05 2021 20:35

この詐欺キャンペーンは、134のウェブサイトからなるネットワークで構成されており、金銭的な報酬を得られるという名目でアンケートへの回答を求め、人々を誘い込もうとしたもの…

 

「アノニマス」がコロンビア上院のウェブサイトをダウンさせ、議員のEメールをリーク

The Rio Times – May 05 2021 19:42

火曜日、「アノニマス」はコロンビア国軍のデータリークの犯行声明を出しただけでなく、コロンビア上院のウェブサイトをダウンさせ、議員のEメールもリークした。

 

「UNC2529」:3つのマルウェアで米国の組織を狙う、新たな高い技術力を持ったサイバー犯罪グループ

Security Affairs – May 05 2021 15:27

「UNC2529」として追跡されている新たなサイバー犯罪グループが、新しい高度なマルウェアを使って米国およびその他の国の多くの組織を標的にしている。FireEye Expertsが「UNC2529」として追跡している、金銭的動機を持った新たな脅威アクターは…

 

 

マルウェア

FireEyeの子会社Mandiantの研究者が、世界的なフィッシングキャンペーンと新たな3つのマルウェアファミリー(「DOUBLEDRAG」、「DOUBLEDROP」、「DOUBLEBACK」)を紹介

virusbtn – Twitter – May 05 2021 13:56

FireEye の子会社 Mandiant の研究者が、世界的なフィッシングキャンペーンと新たな3つのマルウェアファミリー(「DOUBLEDRAG」、「DOUBLEDROP」、「DOUBLEBACK」)を紹介

hxxps://www[.]fireeye[.]com/blog/threat-research/2021/05/unc2529-triple-double-trifecta-phishing-campaign.html hxxps://twitter[.]com/virusbtn/status/1389941964112543751/photo/1

 

「Pingback」と呼ばれる新たなマルウェアを分析

virusbtn – Twitter – May 05 2021 12:28

Trustwave SpiderLabsの研究者が、「Pingback」と呼ばれる新しいマルウェアを分析した。このマルウェアがどのようにして持続性を実現しているか、どのようにバックドア通信にICMPトンネリングを使用しているか、そしてどう異なるモードで動作しているのかについて説明している….

hxxps://www[.]trustwave[.]com/en-us/resources/blogs/spiderlabs-blog/backdoor-at-the-end-of-the-icmp-tunnel/ hxxps://twitter[.]com/virusbtn/status/1389919815117180928/photo/1

 

C&Cの検出を回避するためにICMPを利用する「Pingback」マルウェア

Heimdal Security Blog – May 05 2021 10:31

サイバーセキュリティ・アナリストのLloyd Macrohon氏とRodel Mendrez氏は最近、漏洩調査の際に遭遇した新しいマルウェアを調査した。「Pingback」と名付けられたこのマルウェアは、ICMP(インターネット制御通知プロトコル)トンネリングを利用し…

 

「BazarLoader」のダウンローダーがソーシャルエンジニアリング技術を使用

Cyware – May 05 2021 10:27

「BazarLoader」のダウンローダーが、2つの別個のサイバー攻撃キャンペーンの中で発見された。いずれのキャンペーンでも、独自のソーシャルエンジニアリング技術と、多くの組織で使用されている人気製品が使用されていた。昨年4月に初めて観測されて以来…

 

 

脆弱性

数億台の Dell PC が CVE-2021-21551 の欠陥の影響を受ける

securityaffairs – Twitter – May 05 2021 08:08

数億台のDell PC が CVE-2021-21551 の欠陥の影響を受ける

hxxps://securityaffairs[.]co/wordpress/117514/security/cve-2021-21551-dell-flaws.html

#securityaffairs

 

Appleが iOS の緊急パッチを発表 iOS 14.5リリースの1週間後に

lorenzoFB – Twitter – May 05 2021 15:42

@lorenzofbが次のようにツイート。

「脆弱性は以下の通り:

CVE-2021-1870

CVE-2021-1871

CVE-2021-1879

CVE-2021-30661

CVE-2021-30663

CVE-2021-30665

CVE-2021-30666」

 

Dell の BIOS ドライバーに権限昇格の欠陥

Sword & Shield Enterprise Security, Inc. – May 05 2021 16:24

Dell コンピューターの BIOS ドライバーにおける権限昇格の欠陥の概要(2021年5月4日)
弊社のテクノロジーパートナーである SentinelOne はきょう、Dell のコンピューター (デスクトップ、ラップトップ、ノートブック、およびタブレット)が脆弱な可能性があることを発表し…

 

CVE-2021-20254 samba に欠陥

CVEnew – Twitter – May 05 2021 14:45

samba に欠陥が見つかった。samba smbd ファイルサーバーは、Windows のグループID (SID)  を unix のグループID  (gid)  の中にマッピングする必要がある。これを行うコードに、配列の末尾を超えてデータを読めてしまうかもしれない欠陥が存在した。…

 

 

進行中のキャンペーン

自分の権限をチェックしよう – クラウドにおける権限昇格のリスク

Check Point – May 05 2021 11:00

Facebook 創設者にしてCEOであるマーク・ザッカーバーグ氏の有名な座右の銘、「素早く行動し、破壊せよ」は、同社のイノベーションと成長の原動力の一つと考えられている。しかし、計画よりも早く行動することが常に良いとは限らない。…

 

EUの主要国が大規模なDDoS攻撃を受ける

HackRead – May 05 2021 16:29

200を超えるベルギーのウェブサイトが DDoS 攻撃の標的となっている。何が起きたか、そしてどの機関がDDoS攻撃を受けたのか。…

 

標的の使用OSごとにAndroidマルウェアを使い分け、スミッシング活動の幅を広げる「Roaming Mantis」 

McAfee Blogs – May 05 2021 18:17

McAfee Mobile Research チームは2021年1月以降、「Roaming Mantis」が日本のユーザーを「SmsSpy」と呼ばれる新たなマルウェアの標的にしていることを立証してきた。 

 

「Hafnium」の攻撃のタイムライン

Security Bloggers Network – May 05 2021 15:13

中国の国家支援脅威グループ「Hafnium」による世界中の Microsoft Exchange サーバーへの攻撃は、21,000超の組織に影響を与えたと考えられている。これらの攻撃による影響は増大しているところであり、4つのゼロデイ脆弱性が…

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

 

翻訳元 : Cyber Alert 

https://www.silobreaker.com/silobreaker-cyber-alert-06-may-2021/

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/