2023.01.17 05:20:03
Threat Report
「Lolip0p」の有害PyPiパッケージは情報窃取型マルウェアをインストール
サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年1月17日のサイバーアラートの中から、注目のニュースを3つピックアップしました(その他のニュースはページ後半に記載)。
「Lolip0p」の有害PyPiパッケージは情報窃取型マルウェアをインストール
Bleeping Computer – Jan 16 2023 16:41
PyPI(Python Package Index)リポジトリにアップロードされた、情報窃取型マルウェアを展開するためのコードを含む3つの有害パッケージ(名称はそれぞれ「colorslib」、「httpslib」、「libhttps」)を、Fortinetが発見。これらはいずれも、2023年1月7日〜12日の間に脅威アクター「Lolip0p」によってアップロードされた。
PyPIはソフトウェア開発者の間で非常に人気の高いPythonパッケージ用リポジトリであるため、開発者を狙う脅威アクターに有害パッケージの配布手段として利用されるケースが少なくない。ただ、今回発見されたLolip0pのパッケージでは、典型的な有害パッケージの例に反して完全なディスクリプションが記載されており、開発者にパッケージが「本物」であるかのように信じ込ませやすくする工夫がなされていた。3つの有害パッケージはいずれも報告され、PyPIからは1月14日に削除済みだが、しばらく経ってから名称が変更されて再度アップロードされる可能性もあるため、引き続き注意が必要。有害PyPIパッケージについては、過去に弊社アナリストもレポートしている(以下)。
スティーラーのRaccoonとVidar、偽のクラック版ソフトウェアから成る巨大ネットワーク経由で拡散
The Hacker News – Jan 16 2023 12:47
250を超えるドメインから成る「大規模かつ耐久性のあるインフラ」が、2020年初頭以降、RaccoonやVidarといった情報窃取型マルウェアを配布するために利用されている。
SEKOIA社が今月公表したレポートによると、この感染チェーンは、約100の偽クラック版ソフトウェアカタログWebサイトを利用する。これらのWebサイトは、複数のリンクにリダイレクトした後、GitHubなどのファイル共有プラットフォーム上にホストされたペイロードをダウンロードする。
「複数のリダイレクトを用いることで、セキュリティソリューションによる自動解析が難しくなる」と研究者は指摘。記事は、海賊版ソフトウェアのダウンロードを控えること、可能な限り多要素認証を有効にすることをユーザーに推奨している。
NetSupport RATを用いたキャンペーンについて解説 ポケモンのテーマが隠れ蓑に | 「ポケモンゲットだぜ!」
SentinelOne – Jan 16 2023 14:28
ポケモンの話題を利用するNetSupport RAT(NetSupport Manager)のキャンペーンを、AhnLab社の研究者が確認した。脅威アクターはポケモンをベースにしたNFTゲームをホストする有害Webサイトを作成。サイト訪問者はトロイの木馬化したNetSupport RATクライアントのダウンロードを強いられ、攻撃者は訪問者のデバイスへのフルアクセスが可能になる。
NetSupport RATは、何年にもわたって企業環境への多数の攻撃で観測されてきた。「ポケモン」は、同RATの配布と展開に利用されてきた多数の巧妙なルアー(=罠)のうちの最新のものだ。
NetSupport RAT自体は合法的なツールだが、その悪意ある利用は2017年末から観測されてきた。「正規」ツール、またはCOTS(商用オフザシェルフ)ツールを利用することのメリットは、最大限のステルス性を求める攻撃者にとっては大きい。カスタムメイドのマルウェアはEPPやEDRといった保護レイヤーに検知されることが多いため、例えリモートソフトウェアクライアントを配布するのに一定の工夫が必要であっても、正規ツールを利用することが好都合である場合が多い。NetSupportの悪用については、過去に弊社アナリストもレポートしている(以下)。
2023年1月17日
ハイライト
GitHub、親ロシア派DDoSグループ「NoName057(16)」のページを無効化
リークされた米CIAのマルウェアHiveを使って作成された新たなバックドアの流通が確認される
The Hacker News – Jan 16 2023 10:09
ランサムウェアCubaがマイクロソフト製品のSSRF脆弱性を悪用(CVE-2022-41080)
ハッカーら、動員への懸念を利用しロシア人をフィッシング攻撃の標的に
The Record – Jan 16 2023 18:28
Raspberry Robinボットネットのインフラが他のアクターに流用される可能性
ランサムウェアVice Societyがデュースブルク・エッセン大学のデータをリーク
Bleeping Computer – Jan 16 2023 19:22
米CIAのマルウェアツール「Hive」が新バックドア「Xdr33」の開発に流用される
AvastがランサムウェアBianLianの無料復号ツールをリリース
Bleeping Computer – Jan 16 2023 12:15
アマゾンで販売の「T95 Android TVボックス」に精巧なマルウェアが仕込まれる
Security Affairs – Jan 16 2023 10:41
スパイウェアEyeSpy、イランのVPNユーザーを狙う
JavaScriptライブラリにおける脆弱性の検知
Qualys Blog – Jan 16 2023 11:46
InHand製産業用ルーターの脆弱性により、内部OTネットワークが攻撃を受ける可能性
Security Week – Jan 16 2023 15:52
ワイヤレスネットワークプロトコルWPA2 / WPAにおける「KRACK」の脆弱性
Medium Cybersecurity – Jan 16 2023 21:01
ノートンLifeLock、顧客6,000人超のアカウントが侵害されたとしてユーザーに注意喚起
Information Security Buzz – Jan 16 2023 13:22
オーストラリアの3つの法律事務所がMedibankを共同で提訴 データ侵害の被害者への補償求め
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
