ランサムウェアESXiArgsの改良版はVMwareホストの復元を阻止

山口 Tacos

2023.02.10

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年2月10日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

ランサムウェアESXiArgsの改良版はVMwareホストの復元を阻止

BankInfoSecurity – Feb 09 2023 13:09

VMware ESXiを狙った大規模キャンペーンを行う攻撃者たちが自らのランサムウェアを改良したことで、無料の復元ツールでのファイル復号が困難になっているとの報道。ランサムウェアESXiArgsを使ったこの攻撃キャンペーンではすでに、2,800台以上のホストとそれらのホスト上で動作する不特定多数の仮想マシンが暗号化されている。

報道によれば、改良前の同ランサムウェアは容量の比較的大きいファイルのごく一部を暗号化するに過ぎなかったが、改良版の登場以後、128MB以上のすべてのファイルについてはそのデータの50%が暗号化されてしまうようになっており、回復もおそらく不可能になっているとのこと。

また改良版では、ランサムノート（身代金要求メモ）から暗号資産ウォレットのアドレスが削除されているそう。改良前のランサムノートには暗号資産ウォレットのアドレスが含まれていたため、研究者らはこれを踏まえて暗号化されたVMware ESXiホストの数をカウントできていたが、改良版ではそれが困難になる。この変更は、研究者、対応に当たる人々、そして法執行機関によるキャンペーンの深刻度の追跡をより困難にしている。

TA886、高価値の標的を見つけるため新たなマルウェア「Screenshotter」を開発

Bleeping Computer – Feb 09 2023 17:39

「TA886」として追跡される新たな脅威アクターによる、米国とドイツの組織を狙い、感染したシステムで監視やデータ窃取を行う活動をProofpointが発見し、詳しく報告した。TA886は金銭的な動機を持っているとみられ、システムを侵害後、その標的にさらなる侵入を行う価値があるかどうかを判断するため、予備的な調査を行うのだという。

攻撃はまず、英語かドイツ語で書かれたフィッシングメールによって始まる。メールに含まれる有害URLを受信者がクリックすると、多段階の攻撃チェーンが発動。TA886のカスタムマルウェアツールの1つである「Screenshotter」がダウンロード・実行されるのだそう。

このツールは被害者のマシンからスクリーンショットを撮影し、レビューを行うために、撮影されたJPGファイルを脅威アクターのサーバーに送り返す。脅威アクターはこの画像を手動で確認し、被害者の価値を判断するのだそう。判断の結果次第で、Screenshotterによるさらなるスクリーンショットの撮影か、別のカスタムペイロードの展開が行われる。

これらのペイロードによってロードされるスティーラー「Rhadamanthys」には、Webブラウザに保存された暗号資産ウォレット、認証情報、クッキーのほか、FTPクライアント、Steamアカウント、Telegramアカウント、Discordアカウント、VPN設定、Eメールクライアントを窃取する性能などが含まれているそう。

ProofpointはTA886によるこの活動を2022年10月に発見したとしており、活動が2023年に入ってからも続いたことを報告している。

有名ブランドになりすましてマルウェアを配布するHTMLスマグリングキャンペーン

CSO Magazine – Feb 09 2023 16:23

HTMLの汎用性を、ソーシャルエンジニアリングと併せて悪用することでマルウェアを配布するHTMLスマグリングの活動がますます流行していると、Trustwave社SpiderLabsの研究者が2月9日付のブログで明らかにした。

同社は、最近あったHTMLスマグリングのキャンペーンを4例取り上げている。これらは、Adobe AcrobatやGoogle Drive、US Postal Serviceといった有名なブランドを騙って、ユーザーに有害ペイロードの保存と開封を促す。

正常なHTML文書の内部に悪意のあるコードやプログラムを隠すHTMLスマグリングは、新しい手法ではない。ただ、マイクロソフトがインターネットから取得された文書内のマクロをデフォルトでブロックし初めて以降、人気を集めていると同社はいう。感染チェーンに同手法を用いていることが最近検知されたマルウェア亜種はCobalt Strike、Qakbot、IcedID、Xworm RATの4つ。記事では、それぞれについて詳細に説明されている。

「ユーザーは、Word DOCXやPDFといったフォーマットの不審な添付ファイルを回避する方法を知っていることが多い。だが、HTMLファイルは安全だと見なされることが多い」と同社シニア・セキュリティ・リサーチ・マネージャーのKarl Sigler氏。Sigler氏は「ブランドへのなりすましが加わると、ますます事態は困難になる」とし、「不審なメールに添付されたHTMLファイルは、他の有害添付ファイルと同じくらいリスクが大きいことを、ユーザーには理解してほしい」と指摘している。

2023年2月10日

ハイライト

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。