Nobeliumは大規模フィッシングでどうやってConstant Contactを利用したか

サイバーアラートについて

マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する、サイバーセキュリティ関連記事のダイジェストを翻訳し、ほぼ毎日更新しています。データ漏えいインシデントの実例や、マルウェア・脆弱性・ハッカーグループの動向、現在進行中のサイバー攻撃などを取り上げています。

各記事の末尾に情報源のサイトへのリンク（赤字）が貼られています。

（リンク先のほとんどが英語のニュースサイト、ブログ、ツイッター投稿ですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。）

以下、翻訳です。

2021年6月2日

マルウェア・脅威アクタートレンド

表の見方（訳者注）

「Name」：マルウェアおよび脅威アクターの名称

「Heat 1」：過去24時間のニュースにおける注目度（*）を４段階で示します。

「Heat 7」：過去１週間のニュースにおける注目度（*）を４段階で示します。

*過去30日間の平均と比較して高ければ赤が増え、低ければ青が増えます。

「Vol 1」：過去24時間に出された記事の中で、言及された回数を示します。

「Vol 7」：過去１週間に出された記事の中で、言及された回数を示します。

データ流出

Definitivehc[.]com の保護されていないデータベースをハッカーが盗み、現在ネット上で販売中

TechNadu – Jun 01 2021 13:27

ハッカーが、データ分析会社の保護されていないサーバーからコピーしたデータベースを販売している。情報には、病院幹部の個人が特定できる情報（PII）と、その他さまざまな保護されていない情報やデータポイントが含まれている。これは、現在悪用可能な何千もの保護されていないインスタンスの一つに過ぎない。…

コロニアル・パイプラインのハッキングにより、パイプラインのサイバーセキュリティに対する政府の軽いタッチの監督のあり方が露呈

InfoSecHotSpot – Twitter – Jun 01 2021 12:50

コロニアル・パイプラインのハッキングにより、パイプラインのサイバーセキュリティに対する政府の軽いタッチの監督のあり方が露呈

hxxps://twitter[.]com/InfoSecHotSpot/status/1399709825207095298/photo/1

パスワード流出を確認できる「Have I Been Pwned」がFBIと連携

Naked Security – Sophos – Jun 01 2021 23:55

データ漏洩の過程でパスワードが盗まれた場合、おそらくそのことを知らされるだろう。しかし、他の方法でパスワードが盗まれた場合はどうか？

CVE-2021-23019  NGINX Controller の脆弱性

CVEnew – Twitter – Jun 01 2021 12:45

NGINX Controller（2.0.0 〜 2.9.0 と、3.15.0 より前の3.x）において、Administrator パスワードが NGINXサポートパッケージ内に含まれている systemd[.]txt ファイル内に漏れる可能性がある。

ハッカー集団

ボットネット「TeamTNT」、過去3か月間に5万のシステムに被害与える

The Record by Recorded Future – Jun 01 2021 13:20

ロシア「Nobelium」のフィッシングキャンペーンについて、マイクロソフトが警告

Security Magazine – Jun 01 2021 15:41

ロシアが支援するグループ「Nobelium」は、米国際開発庁（USAID）が Eメールマーケティングプラットフォーム Constant Contact 上で利用するアカウントを乗っ取ることに成功した。これを受けマイクロソフトは、「Nobelium」が現在フィッシングキャンペーンを行っていると警告している。…

SolarWindsを攻撃したハッカー「Nobelium」は、大規模フィッシングでどうやって Constant Contact を利用したか

CISO MAG – Cyber Security Magazine – Jun 01 2021 08:50

国家が支援するサイバー攻撃がこれまで以上に横行している。 このようなサイバー攻撃は、国のサイバーセキュリティ対策に悪い印象を与えることが多い。例えば、SolarWindsに対する悪名高いサプライチェーン攻撃は…

SolarWinds を攻撃した「Nobelium」が新たなフィッシング攻撃を開始

Minerva Labs – Blog – RSS – Jun 01 2021 13:15

マルウェア

新たなランサムウェア「Epsilon Red」

Cyware – Jun 01 2021 16:27

Go言語で書かれた新しいランサムウェア「Epsilon Red」が、最近セキュリティ専門家によって発見された。このランサムウェアは、人間がコントロールする攻撃において、最後の実行可能なペイロードとして配信される。Sophosのアナリストによると、「Epsilon Red」が観測された攻撃が標的とするのは…

2021-06-01 – 「Cobalt Strike」と「Hancitor」への感染と、ネットワークpingツールの動き

Malware-Traffic-Analysis.net – Blog Entries – Jun 01 2021 23:21

マルウェアはこのトリックを使って、ウイルス対策ソリューションのランサムウェア防御を回避可能

THN : The Hacker News – Jun 01 2021 12:35

よく使われているソフトウェアアプリケーションに重大なセキュリティ上の弱点があることを、研究者らが明らかにした。この弱点を悪用すれば、ソフトウェアの保護機能を解除し、許可リストに載ったアプリケーションを制御してマルウェアに代わって悪質な操作を行わせ、ランサムウェア防御をかわせる可能性がある。

モバイル機器だけを狙うスキミングマルウェア 「MobileInter」

Gasgas4Ggyy – Twitter – Jun 02 2021 02:50

RT @Cyber_O51NT: モバイル機器だけを狙うスキミングマルウェア 「MobileInter」 hxxps://sensorstechforum[.]com/mobileinter-skimmer-mobile-devices/

脆弱性

CVE-2021-3495　 kiali-operator に欠陥 

CVEnew – Twitter – Jun 01 2021 14:45

 kiali-operator（バージョン1.33.0より前、および1.24.7より前）に不正アクセス制御の欠陥が見つかった。この欠陥により、 （kialiオペランドを展開するための）クラスタへの基本的なレベルのアクセス権を持つ攻撃者が、この脆弱性を利用して… 

CVE-2021-3543　Nitro Enclaves に NULL ポインタ・デリファレンスの欠陥

CVEnew – Twitter – Jun 01 2021 14:45

Nitro Enclavesカーネルドライバに、Enclaves VMがenclaveファイル記述子を強制的にクローズする方法で、NULLポインタ・デリファレンスの欠陥が見つかった。ホストマシンのローカルユーザーが、この欠陥を利用してシステムをクラッシュさせたり…

CVE-2021-3516　libxml2 の xmllint に use-after-free の欠陥

CVEnew – Twitter – Jun 01 2021 14:45

libxml2のxmllint（2.9.11 より前のバージョン）に欠陥があった。xmllintで処理される細工したファイルを送信できる攻撃者が、use-after-free（解放済みメモリの使用）を引き起こす可能性がある。この欠陥の最大の影響は、機密性、完全性、および… 

CVE-2021-32027 　postgresqlに欠陥

CVEnew – Twitter – Jun 01 2021 14:45

postgresql（13.3 より前、12.7 より前、11.12 より前、10.17 より前、9.6.22 より前のバージョン）に欠陥が見つかった。特定のSQL配列の値を変更する際に、境界チェックが欠落しているため、 認証されたデータベースユーザーが任意のバイトを…

進行中のキャンペーン

「Nobelium」が新たなフィッシング・キャンペーンで再び活発化

Cyware – Jun 01 2021 20:28

SolarWinds に対する侵害を起こした脅威グループ「Nobelium」が、現在フィッシングキャンペーンを行っている。この攻撃キャンペーンで、ロシアに支援された同グループは、USAIDがメールマーケティングプラットフォームの Constant Contactで使用しているアカウントを乗っ取った。

サプライチェーン攻撃とは？　この攻撃があなたのソフトウェアがどう脆弱にしているかを説明

E Hacking News – Jun 01 2021 13:43

ユーザーはよく公的機関や民間企業から、不正なリンクや情報源に注意すること、認証情報を誰とも共有しないこと、ダークウェブから機密データを守ることなどを求める警告を受ける。だが…

Cortex XSOARにより「Nobelium」のスピアフィッシングへの迅速な対応が可能に

Palo Alto Networks Blog – Jun 01 2021 16:15

2021年5月27日、マイクロソフトは「APT29」によるものとされる大規模なスピアフィッシングキャンペーンを報告し、特に…

「Kimsuky APT」は「AppleSeed」バックドアを利用し韓国政府を引き続き標的に

Malwarebytes Unpacked – Jun 01 2021 13:00

[このブログ記事はHossein Jaziが執筆しました]「Kimsuky APT」（「Thallium」、「Black Banshee」、「Velvet Chollima」とも呼ばれる）は、2012年から活動している北朝鮮の脅威アクターである。このグループはサイバースパイ活動を行っており…

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

翻訳元 : Cyber Alert 

https://www.silobreaker.com/silobreaker-cyber-alert-02-june-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/