米司法省とFBIがHiveランサムウェアのインフラをテイクダウン | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 米司法省とFBIがHiveランサムウェアのインフラをテイクダウン

Threat Report

Silobreaker-CyberAlert

米司法省とFBIがHiveランサムウェアのインフラをテイクダウン

山口 Tacos

山口 Tacos

2023.01.27

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年1月27日のサイバーアラートの中から、注目のニュースを3つピックアップしました(その他のニュースはページ後半に記載)。

「ハッカーをハッキングした」:米司法省とFBIがHiveランサムウェアのインフラをテイクダウン 同グループのシステムへの数か月間の潜入経て

The Record – Jan 26 2023 17:25

米司法省とFBIが、Hiveランサムウェアグループのインフラをテイクダウンしたと発表。FBIのレイ長官によると、FBIは2022年7月にHiveのオペレーターが用いるコントロールパネルへのアクセスに成功し、その後7か月間アクセスを維持。これにより、被害者を特定することと、1,300を超える世界中の被害者へ復号鍵を提供することが可能になり、少なくとも1億3千万ドルの身代金の支払いを阻止することができたとのこと。FBIは最終的にサーバーを差し押さえ、Hiveのダークネットサイトを停止させた。

レイ長官によると、Hiveは2021年6月に登場して以来、80以上の国々の1,500もの被害者を標的にしてきたのだそう。ただ、Hiveシステムへの潜入期間中には、ランサムウェアインシデントを法執行機関へ報告した被害者が全体の20%ほどしかいなかったという事実が発覚している。長官はこれについて、「被害者がすんなり名乗り出ず、密かに身代金を払ってしまうという根深い問題が浮き彫りになった」としている。

今回のテイクダウンで逮捕者は出ていないものの、レイ長官は、「捜査は今も絶賛進行中であるため、Hiveに関与している者はみな心しておくべきだ」と記者団にコメントしている。

なお、このFBIのオペレーションは、ユーロポールのほか、ドイツ、オランダ、カナダ、フランス、アイルランド、リトアニア、ノルウェー、ポルトガル、ルーマニア、スペイン、スウェーデン、英国の法執行機関と協力して実施された。

Windows CryptoAPIの重大な脆弱性に対するPoCエクスプロイトを研究者がリリース(CVE-2022-34689)

Help Net Security – News – Jan 26 2023 14:42

Windows CryptoAPIにおける重大な脆弱性(CVE-2022-34689)のPoCエクスプロイトをAkamaiの研究者が公開した。この脆弱性は2022年8月に修正済みで、マイクロソフトが2022年10月の月例パッチで存在を明らかにしたもの。

この脆弱性を悪用する攻撃者は、悪意のある証明書を作成して、身元を偽装することが可能。Akamaiによると「攻撃者はまず本物の証明書を入手・修正し、修正版を標的に提供する。次に、修正済みの本物の証明書とMD5が衝突(collide)する新たな証明書を作成し、この新たな証明書を用いて元の証明書の対象になりすます」とのこと。

Akamaiは、古いバージョンのChrome(バージョン48以前)とChromiumベースのアプリケーションが悪用される可能性があるとし、「他にも脆弱な標的が存在していると見て、現在も調査を続けている」とした。ただし記事によると、この脆弱性は2020年の類似する脆弱性であるCVE-2020-0601(「CurveBall」)ほど広く悪用されることはないとのこと。

Akamaiは管理者に対し、Windowsサーバーおよびエンドポイントに対してマイクロソフトがリリースした最新のセキュリティパッチを適用することを、また開発者に対しては、証明書使用前の正当性を他のWinAPIを使ってダブルチェックすることを推奨している。

Kubernetes内のPostgreSQLをクリプトジャッキングキャンペーンから守る

CrowdStrike blogs – Jan 26 2023 21:12

PostgreSQLは強力なオープンソースのRDBMS(リレーショナルデータベース管理システム)で、その堅牢性と拡張性の高さから、クラウド上で広く使用されている。AWS、Azure、GCPを含むほとんどのパブリッククラウドが、PostgreSQLをベースに顧客へデータベースサービスを提供している。しかし、PostgreSQLに設定ミスがあると、基盤となるOS上でのSQLコマンド「COPY」とロール「 pg_execute_server_program」を用いたシェルコマンドの実行が可能になってしまうのだという。クラウドサービスプロバイダーによってホストされる一般的なPostgreSQLサービスの場合と異なり、ユーザーが手動でPostgreSQLをデプロイするとなると、認証手段やユーザーロール、アクセス権限といった点で多数の設定ミスが生じる恐れがある。

WatchDog、TeamTNT、Kinsingなどのクリプトジャッキンググループをはじめとする攻撃者たちは、クラウドやKubernetes、またはオンプレミスのインフラに展開された設定ミスのあるPostgreSQLや保護されていないPostgreSQLを悪用しようと目を光らせていることが多いのだそう。今回のCrowdStrikeの記事では、こういった攻撃者から特に人気のある設定ミスについての解説が提供されている。

関連記事:仮想通貨を狙うクリプトジャッキングとは?その仕組みと企業が取るべき対策

 

2023年1月27日

ハイライト

 

ShinyHuntersのメンバーと疑われる人物、モロッコから米国に身柄引き渡し 有罪判決なら禁錮116年の可能性

Graham Cluley – Jan 26 2023 15:27

 

Moses Staffと新たなハクティビストグループAbraham’s Axとの関連性を研究者が明らかに

The Hacker News – Jan 26 2023 14:34

 

ドイツの政府、空港、銀行にKillnetがDDoS攻撃

Dark Reading – Jan 26 2023 19:26

 

東アジアの大企業への攻撃でオープンソースツールSparkRATが使用される

The Record – Jan 26 2023 21:30

 

Hiveランサムウェアのオペレーションを法執行機関が停止した模様

SecurityWeek – Jan 26 2023 14:17

 

英国政府はイランとロシアのサイバースパイが始めたフィッシング攻撃について注意喚起

SecurityWeek – Jan 26 2023 11:58

 

Lazarus Groupが1億ドルの暗号資産窃取の犯人

Heimdal Security Blog – Jan 26 2023 09:15

 

HiveランサムウェアのサイトにFBIとユーロポールに差し押さえられたとの通知文

SC Magazine US – Jan 26 2023 14:32

 

LockbitとLockbit 2.0

Medium Cybersecurity – Jan 26 2023 17:13

 

ランサムウェアMztuはDjvu/STOPの最新版亜種

Medium Cybersecurity – Jan 26 2023 14:05

 

Zacks Investment Researchの顧客82万人がデータ侵害による影響受ける

Information Security Buzz – Jan 26 2023 09:44

 

Zacks Investment Researchでのデータ侵害により82万人が影響受ける

SecurityWeek – Jan 26 2023 14:49

SC Magazine US – Jan 26 2023 19:30

 

GetVariableの攻撃再び、Linux Santa、AMD製品の脆弱性、コンピューターの遠隔爆破 – PSW #770

SC Magazine US – Jan 26 2023 15:40

 

脆弱性スポットライト:Siretta Quartz-GoldとFreshTomatoにOSコマンドインジェクション、ディレクトリトラバーサル、およびその他の脆弱性が見つかる(CVE-2022-40969、CVE-2022-42484など)

Talos Intelligence Blog – Jan 26 2023 21:26

 

Realtek Jungle SDKにおけるRCEの脆弱性を悪用する攻撃の急増について、専門家が注意喚起(CVE-2021-35394)

Security Affairs – Jan 26 2023 08:14

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (27 January 2023)

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ