MQsTTang：Mustang Pandaの新しいバックドア、QtとMQTTを使って新境地へ

山口 Tacos

2023.03.03

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月3日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

MQsTTang：Mustang Pandaの新しいバックドア、QtとMQTTを使って新境地に足を踏み入れる

WeLiveSecurity RSS – Mar 02 2023 10:30

ESETの研究者らが、新たなカスタムバックドア「MQsTTang」を分析。同研究者らは、MQsTTangがAPTグループ「Mustang Panda」のものだと考えているという。

MQsTTangは2023年1月初旬から始まったと考えられる進行中のキャンペーンで使用されているそう。このキャンペーンでは、ブルガリアとオーストラリアの組織（詳細は不明）が標的として観測されているほか、台湾の政府機関が標的になっていることを示す情報もあるという。またESETは、ヨーロッパやアジアの政治関連組織および政府関連組織も狙われていると考えている。

MQsTTangの興味深い特徴の最たるものとしては、C＆C通信にMQTTプロトコルを使用する点が挙げられるとされる。MQTTは通常、IoTデバイスとコントローラ間の通信に使われ、報告されているマルウェアファミリーの多くでは使用されていない。また、Qtフレームワークが使用されているのもかなり珍しい点だとのこと。

ESETのレポートには、詳細な技術的分析結果やIoCなどが記載されている。

SysUpdateマルウェア、Linux版と新たな回避戦術を携え再び襲来

The Hacker News – Mar 02 2023 08:03

脅威アクター「Lucky Mouse」（別名「APT27」、「Bronze Union」、「Emissary Panda」、「Iron Tiger」）が、マルウェアツールキット「SysUpdate」のLinux版を開発し、攻撃可能な対象を拡大させている。

トレンドマイクロによると同Linux版が最初に確認されたのは2022年7月で、同年6月にはWindows版が観測されていた。Linux版では、セキュリティソフトウェアを回避したり、リバースエンジニアリングに抵抗したりできるよう設計された新たな性能が取り入れられているという。

Lucky Mouseの最近のキャンペーンでの標的には、2019年から繰り返し狙われているフィリピンのギャンブル業界の企業が含まれている。これらの正確な感染ベクターは不明だが、Youduのようなメッセージアプリを装ったインストーラーが使われている可能性がある。

同グループが用いる別のLinux向けバックドア「rshell」がmacOSにも対応するようになっていることから、トレンドマイクロは、SysUpdateについてもmacOS版が今後登場する可能性も捨てきれない、としている。

Booking.comにOAuth関連の脆弱性、アカウント乗っ取りが可能だった恐れ

SiliconANGLE – Mar 02 2023 13:00

人気のホテル予約サービス「Booking Holdings Inc.」のWebサイト「Booking.com」で見つかった重大なセキュリティ欠陥についての新たなレポートを、Salt Securityのセキュリティ研究者がリリース。

欠陥はOAuthの実装に関するもので、Facebookアカウント経由で同サイトへログインしているユーザーに影響を与える。この欠陥により、顧客アカウントの大規模なアカウント乗っ取りや、サーバーの侵害が可能になった恐れがあるという。

悪意あるアクターがこの欠陥を悪用して顧客アカウントへアクセスした証拠は存在しない。ただ、アカウント乗っ取りが行われていた場合、攻撃者は、 Booking.comに保存されたユーザーデータ（個人を識別できる情報やその他の機微データ）へアクセスしたり、旅行の予約・キャンセルや交通サービスの発注といった行為をユーザーに代わって勝手に行ったりした可能性がある。

同様のOAuth関連の脆弱性は、Booking Holdingsが所有・運営する他のサイト（Kayak.comなど）でも見つかった。これらの脆弱性はすでに報告済みで、修正も済んでいる。

Salt Securityは、OAuthが世界中の多数のサービスで使用されるようになっていることを踏まえ、「OAuthの誤設定は企業と顧客の両方に重大な影響を与え得る」と指摘している。

2023年3月3日

ハイライト

関連記事：BlackLotus：Windows 11のUEFIセキュアブートを回避する最初のブートキット

2023-03-02 – Rig EK –> マルウェアローダー –> Redline Stealer

Malware-Traffic-Analysis – Mar 03 2023 02:26

脅威アーカイブ Vol 6：Cubaランサムウェア

Medium Cybersecurity – Mar 02 2023 12:04

CISAのアドバイザリ：Royalランサムウェア

DataBreaches.net – Mar 02 2023 12:00

英国の小売業者W・H・スミスで新たなデータ流出が発生

News ≈ Packet Storm – Mar 02 2023 15:01

チックフィレ、数か月間続いた「自動」攻撃でアカウントがハッキングされたことを認める

Bleeping Computer – Mar 02 2023 21:00

昨年夏にCollege of the Desertで発生した疑いのあるマルウェア攻撃により、800人が影響受ける

DataBreaches.net – Mar 02 2023 12:41

エクスペリアンでのデータ侵害めぐり有罪判決受けた実業家が量刑宣告が予定されていた裁判を欠席、裁判所は逮捕状を発行

DataBreaches.net – Mar 02 2023 12:41

パッチ未適用の古い脆弱性が引き続き悪用されている：Tenableのレポート

CSO Magazine – Mar 02 2023 10:52

シスコ、IP電話の重大な脆弱性にパッチ（CVE-2023-20078）

Security Week – Mar 02 2023 12:09

ArubaOSの重大な脆弱性が修正される（CVE-2023-22747、CVE-2023-22748、CVE-2023-22749、CVE-2023-22750、CVE-2023-22751、CVE-2023-22752）

SC Magazine US – Mar 03 2023 03:49

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。