ランサムウェアESXiArgsの改良版はVMwareホストの復元を阻止 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ランサムウェアESXiArgsの改良版はVMwareホストの復元を阻止

Threat Report

Silobreaker-CyberAlert

ランサムウェアESXiArgsの改良版はVMwareホストの復元を阻止

佐々山 Tacos

佐々山 Tacos

2023.02.10

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年2月10日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

 

ランサムウェアESXiArgsの改良版はVMwareホストの復元を阻止

BankInfoSecurity – Feb 09 2023 13:09

VMware ESXiを狙った大規模キャンペーンを行う攻撃者たちが自らのランサムウェアを改良したことで、無料の復元ツールでのファイル復号が困難になっているとの報道。ランサムウェアESXiArgsを使ったこの攻撃キャンペーンではすでに、2,800台以上のホストとそれらのホスト上で動作する不特定多数の仮想マシンが暗号化されている。

報道によれば、改良前の同ランサムウェアは容量の比較的大きいファイルのごく一部を暗号化するに過ぎなかったが、改良版の登場以後、128MB以上のすべてのファイルについてはそのデータの50%が暗号化されてしまうようになっており、回復もおそらく不可能になっているとのこと。

また改良版では、ランサムノート(身代金要求メモ)から暗号資産ウォレットのアドレスが削除されているそう。改良前のランサムノートには暗号資産ウォレットのアドレスが含まれていたため、研究者らはこれを踏まえて暗号化されたVMware ESXiホストの数をカウントできていたが、改良版ではそれが困難になる。この変更は、研究者、対応に当たる人々、そして法執行機関によるキャンペーンの深刻度の追跡をより困難にしている。

TA886、高価値の標的を見つけるため新たなマルウェア「Screenshotter」を開発

Bleeping Computer – Feb 09 2023 17:39

「TA886」として追跡される新たな脅威アクターによる、米国とドイツの組織を狙い、感染したシステムで監視やデータ窃取を行う活動をProofpointが発見し、詳しく報告した。TA886は金銭的な動機を持っているとみられ、システムを侵害後、その標的にさらなる侵入を行う価値があるかどうかを判断するため、予備的な調査を行うのだという。

攻撃はまず、英語かドイツ語で書かれたフィッシングメールによって始まる。メールに含まれる有害URLを受信者がクリックすると、多段階の攻撃チェーンが発動。TA886のカスタムマルウェアツールの1つである「Screenshotter」がダウンロード・実行されるのだそう。

このツールは被害者のマシンからスクリーンショットを撮影し、レビューを行うために、撮影されたJPGファイルを脅威アクターのサーバーに送り返す。脅威アクターはこの画像を手動で確認し、被害者の価値を判断するのだそう。判断の結果次第で、Screenshotterによるさらなるスクリーンショットの撮影か、別のカスタムペイロードの展開が行われる。

これらのペイロードによってロードされるスティーラー「Rhadamanthys」には、Webブラウザに保存された暗号資産ウォレット、認証情報、クッキーのほか、FTPクライアント、Steamアカウント、Telegramアカウント、Discordアカウント、VPN設定、Eメールクライアントを窃取する性能などが含まれているそう。

ProofpointはTA886によるこの活動を2022年10月に発見したとしており、活動が2023年に入ってからも続いたことを報告している。

名ブランドになりすましてマルウェアを配布するHTMLスマグリングキャンペーン

CSO Magazine – Feb 09 2023 16:23

HTMLの汎用性を、ソーシャルエンジニアリングと併せて悪用することでマルウェアを配布するHTMLスマグリングの活動がますます流行していると、Trustwave社SpiderLabsの研究者が2月9日付のブログで明らかにした。

同社は、最近あったHTMLスマグリングのキャンペーンを4例取り上げている。これらは、Adobe AcrobatやGoogle Drive、US Postal Serviceといった有名なブランドを騙って、ユーザーに有害ペイロードの保存と開封を促す。

正常なHTML文書の内部に悪意のあるコードやプログラムを隠すHTMLスマグリングは、新しい手法ではない。ただ、マイクロソフトがインターネットから取得された文書内のマクロをデフォルトでブロックし初めて以降、人気を集めていると同社はいう。感染チェーンに同手法を用いていることが最近検知されたマルウェア亜種はCobalt Strike、Qakbot、IcedID、Xworm RATの4つ。記事では、それぞれについて詳細に説明されている。

「ユーザーは、Word DOCXやPDFといったフォーマットの不審な添付ファイルを回避する方法を知っていることが多い。だが、HTMLファイルは安全だと見なされることが多い」と同社シニア・セキュリティ・リサーチ・マネージャーのKarl Sigler氏。Sigler氏は「ブランドへのなりすましが加わると、ますます事態は困難になる」とし、「不審なメールに添付されたHTMLファイルは、他の有害添付ファイルと同じくらいリスクが大きいことを、ユーザーには理解してほしい」と指摘している。

 

2023年2月10日

ハイライト

 

米国と英国がロシアのグループTrickbotのメンバー複数人に制裁

BankInfoSecurity – Feb 09 2023 17:09

 

新たなフィッシングキャンペーンはペイロード配布前にスクリーンショットを撮影

SC Magazine US – Feb 09 2023 23:02

 

Scattered Spiderの標的がBPO企業と電気通信事業者からIT企業とゲーム会社へシフト

Cyware – Feb 09 2023 18:43

 

米国と英国がサイバー犯罪グループTrickbotのロシア人メンバー7人に制裁

SC Magazine US – Feb 09 2023 15:32

 

ロシアのハッカー集団、新マルウェアのGraphiron使ってウクライナからデータを窃取

Information Security Buzz – Feb 09 2023 13:01

 

マルウェアGootloaderとSEOポイズニングが「精力的な」キャンペーンで医療を狙う

SC Magazine US – Feb 09 2023 20:03

 

Killnetが使うプロキシIPのリストが公表される

Heimdal Security Blog – Feb 09 2023 11:19

 

マルウェアGootkit、ヘルスケアやファイナンス企業を攻撃するため新たな戦術を採用

The Hacker News – Feb 09 2023 10:38

 

キャンペーンQakNoteで、被害者をQBotに感染させるためOneNoteが利用される

Cyware – Feb 09 2023 23:48

 

ESXiArgsランサムウェアにより侵害されたサーバーの数が3,800超に ハッカーらはマルウェアの改良を続ける

Security Week – Feb 09 2023 11:06

 

人気DMS製品における脆弱性により、秘密文書が漏洩する恐れ(CVE-2022-47412)

SecurityWeek – Feb 09 2023 13:42

 

2023年2月のAndroid月例アップデート、脆弱性40件が修正される

Security Week – Feb 09 2023 13:52

 

Wordfence Intelligence CEのウィークリー脆弱性レポート(2023年1月30日〜2月5日)

Wordfence – Feb 09 2023 15:31

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (10 February 2023)

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ