新たなランサムウェア亜種LockBit GreenはContiランサムウェアのコードを借用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新たなランサムウェア亜種LockBit GreenはContiランサムウェアのコードを借用

Threat Report

Silobreaker-CyberAlert

新たなランサムウェア亜種LockBit GreenはContiランサムウェアのコードを借用

佐々山 Tacos

佐々山 Tacos

2023.02.02

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年2月2日のサイバーアラートの中から、注目のニュースを3つピックアップしました(その他のニュースはページ後半に記載)。

 

たなランサムウェア亜種LockBit GreenはContiランサムウェアのコードを借用

Security Affairs – Feb 01 2023 11:16

Lockbitランサムウェアのオペレーターらが、同マルウェアの新バージョン「LockBit Green」を実装。LockBit Greenは同グループによって開発されたランサムウェアの3つ目のバージョン(1つ目はLockbit Red、2つ目はLockbit Black)で、クラウドベースのサービスを標的にできるよう設計されている。

SentinelOneのシニア脅威インテリジェンスアナリストAntonio Cocomazzi氏は、この新亜種とContiランサムウェアが大きく一致していることを報告した。同氏によれば、サンプルを分析したところ、LockBit GreenとContiは89%一致していたそう。なお、分析されたContiのサンプルは数か月前にソースコードが流出した「v3」バージョンのものだった。Cocomazzi氏は、上記の分析結果から、LockBit GreenがConti v3とほぼ同一であり、元のソースコードの派生物であることが示されているとしている。

他のマルウェアのソースコードを利用できる状態というのは、オペレーターにそのソースコードを使って独自のバージョンを作り出し、それを改良し、そして開発サイクルを加速させる機会を提供する。Cocomazzi氏によれば、このようなソースコードの再利用アプローチはコストや時間の節約を可能にし、RaaSのリリーススピードも上げるのだという。

なお、Prodaftの研究者はLockbit GreenのIoCと、その検出パターンに関するYaraルールを共有している。

スワードマネージャー利用者を狙う目的でGoogle広告がハイジャックされるように

Cyware – Feb 01 2023 12:47

Google広告を利用してパスワードマネージャーの利用者を標的にするという新たなマルバタイジングキャンペーンが登場している。

「Google広告プラットフォームを悪用してユーザーを騙し、マルウェアを拡散する偽サイトをクリックさせる」、このような手法を用いるサイバー犯罪者が増えているとのこと。

1Passwordのような人気パスワードマネージャーを使いたがっているユーザーが、検索結果の上位に表示される偽のスポンサードサイトにダイレクトされていたことをMalwarebytes Labsの研究者が発見。検索結果1位のものは正規のドメイン「1password[.]com」へのものだったが、2位に表示されたのは「start1password[.]com」につながる広告だったという。

このような攻撃は、以前にも観測されている。例えば脅威アクターDEV-0569は、Google広告を悪用してマルウェアの配布、被害者パスワードの窃取、さらにはランサムウェア攻撃に向けてのネットワーク侵害を行っていた。

上記のような偽サイトは本物に見えるようなあらゆるサインを示しているため、検索結果上位のスポンサード広告の扱いには注意が必要。

イクロソフトの「確認済みの発行元」ステータスがデータの窃取に悪用される

News ≈ Packet Storm – Feb 01 2023 17:42

悪意のあるOAuthアプリケーションを使うサイバー犯罪者らが、マイクロソフトの「確認済みの発行元」を悪用して、組織のクラウド環境にアクセスし、データを盗んだり、ユーザーのメール、カレンダー、ミーティングを覗き見したりしようとしていたことが分かった。

Proofpointの31日のブログ記事によると、脅威アクターらは「確認済みの発行元」を悪用することで、サードパーティのOAuthアプリに対するマイクロソフトの要件を満たした。この攻撃キャンペーンはProofpointが12月6日に発見したもので、アクターはブランドの悪用などのソーシャルエンジニアリング戦術を用いて、ユーザーに悪意あるアプリを許可するように仕向けていた。

マイクロソフト側も31日に声明を発表した。これによると、同社は2022年12月15日、脅威アクターがMicrosoft Cloud Partner Program(MCPP)に登録する際に本物の企業を不正に装う、コンセントフィッシングキャンペーンを確認したとのこと。なお、標的となったのは、主に英国とアイルランドに拠点を置く一部顧客で、不正なアプリケーションは無効化され、影響を受けた顧客には通知を行ったという。

Proofpointは「攻撃は従来の標的型フィッシングや総当たり攻撃よりも検知されにくかった」とし、「通常、組織の多層防御コントロールは、確認済みのOAuthアプリを使う脅威アクターに対しては比較的甘い」と指摘。また、「『確認済みの発行元』ステータスのみに基づいてOAuthアプリを信用すべきではない」などとしている。

 

2023年2月2日

ハイライト

 

Killnetの内幕:親ロシア派ハクティビストグループのサポートと影響力が増大

Dark Reading – Feb 01 2023 20:20

 

GoogleはChromebookの登録解除を可能にするエクスプロイトSH1MMERへの対処を計画

SC Magazine US – Feb 02 2023 01:15

 

APT34の新たなマルウェアが中東を標的に

Trend Micro Research News Perspectives – Feb 02 2023 05:22

 

Google Fiでのデータ侵害がSIMスワップ被害につながったとの報告

SecurityWeek – Feb 01 2023 10:38

 

ロシアが支援するハッカーグループGamaredon、情報窃取型マルウェアを使ってウクライナを攻撃

The Record – Feb 01 2023 20:59

 

PoSマルウェアPrilexの新バージョン、NFCが有効化されたクレジットカードを狙えるよう進化

Security Affairs – Feb 01 2023 15:29

 

Hiveのテイクダウンは、被害者システムの復旧に取り組むようになったFBIの成長を示している

SC Magazine US – Feb 01 2023 21:51

 

PoSマルウェアPrilexはクレジットカードを盗むためNFCトランザクションをブロック

Security Week – Feb 01 2023 12:53

 

有害NPM、PyPIパッケージがユーザー情報を窃取

Security Week – Feb 01 2023 16:52

 

マルウェアAlbum Stealer、RMMソフトウェアへの攻撃、実際に悪用される脆弱性エクスプロイトのトレンド(CVE-2022–0847、CVE-2022–41080、CVE-2022–41076)

Medium Cybersecurity – Feb 01 2023 18:22

 

2016年からマルウェアが検出回避のために利用しているパッカー「TrickGate」

Security Affairs – Feb 01 2023 07:24

 

Econolite製トラフィックコントローラーソフトウェアの未修正の脆弱性により遠隔でのハッキングが可能に(CVE-2023-0452)

Security Week – Feb 01 2023 11:52

 

VMware、vRealize Log Insightの重大な脆弱性のエクスプロイトコードがリリースされたことを認める(CVE-2022-31706、CVE-2022-31704、CVE-2022-31710)

Security Week – Feb 01 2023 16:52

 

インターネット接続されたQNAP製NASデバイス3万台に直近の脆弱性の影響(CVE-2022-27596)

SecurityWeek – Feb 01 2023 12:10

 

Wordfence Security、WordPressセキュリティ・プラグインを対象とした2月のゼロデイ対策テストで5位にランクダウン

Plugin Vulnerabilities – Feb 01 2023 22:32

 

Cisco Identity Services Engineに権限昇格の脆弱性(CVE-2023-20021、CVE-2023-20022、CVE-2023-20023)

Cisco Security Advisory – Feb 01 2023 16:00

 

Cisco RV340、RV340W、RV345、RV345P Dual WAN Gigabit VPN Routerに任意ファイルアップロードの脆弱性(CVE-2023-20073)

Cisco Security Advisory – Feb 01 2023 16:00

 

CVE-2023-25012

Latest security vulnerabilities – Feb 02 2023 00:00

 

Tモバイルでの不正アクセス、Google Fiのユーザーデータにも影響

HackRead – Feb 01 2023 21:52

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (02 February 2023)

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ