-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年3月13日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
Medusaランサムウェアグループが勢いを増す 世界中の企業を標的にする中
Bleeping Computer – Mar 12 2023 15:12
2023年に入り、ランサムウェアオペレーション「Medusa」の勢いが増しているという。世界各地の企業・組織が狙われ、数百万ドル規模の身代金を要求されている。直近では、米国のミネアポリス公立学区(MPS)がMedusaの攻撃を受け、盗まれたデータが映っているとされる動画が共有されていた。
Medusaは2021年6月に活動を開始したがあまり活発さはなく、被害者も少なかった。しかし2023年になってから活動量が増えている上、身代金の支払いを拒否した被害者のデータをリークするためのサイト「Medusa Blog」も立ち上げている。
なお、Medusaとランサムウェアオペレーション「MedusaLocker」は完全に別物。MedusaLockerは「How_to_back_files.html」という名の身代金要求メモが使われることが多く、暗号化されたファイルには多様なファイル拡張子が使われる。一方、Medusaは「!!!READ_ME_MEDUSA!!!.txt」という名の身代金要求メモを使用し、暗号化されたファイルのファイル拡張子には決まって「.MEDUSA」が用いられる。
Medusaは身代金交渉にTorサイト「Secure Chat」を用いるが、支払いを拒否した被害者に対してはリークサイト「Medusa Blog」を使用して二重恐喝を実施するという。
このほか、BleepingComputerの記事では、Medusaが用いるWindows向け暗号化ツールの詳しい分析結果が紹介されている。なおLinux版が存在するかどうかは現時点では不明とのこと。
Exotic Lilyによる新たなメールの脅威
「Exotic Lily」(別名「PROJECTOR LIBRA」、「TA580」)によるフィッシングの試みを、ReliaQuestの研究者グループが発見・調査した。Exotic Lilyは初期アクセスブローカーで、登場以来、DiavolやContiなどのランサムウェアグループとの繋がりによってアンダーグラウンドで名声を獲得してきた。
ReliaQuestが発見した攻撃で同グループはまず、ビジネスチャンスを持ちかけるかのように見せかけたメールを標的に送付する。この際、送信元が本物の組織のように見えるよう、偽装ドメインが利用される。
標的とのやり取りが開始された後の第2段階では、同グループはWeTransfer、OneDrive、TransferNow、TransferXLといった有名なファイル共有プラットフォーム上で悪意あるZIPファイルをホストし、これを標的に共有する。すると、ファイル共有プラットフォームから標的に通知メールが届くが、このメールは正規ドメインから送られるため、問題なく標的の受信ボックスへ辿り着く場合が多い。その後、ZIPファイル内のファイルに含まれるWindowsショートカットを利用してBumbleBeeローダーが配布され、標的のアセット上に有害コンテンツがインストールされる。
Exotic Lilyは重要なターゲットからのログイン情報の窃取に関する専門知識を有することで知られる上、従業員になりすましたり、OSINTを利用したり、説得力のある偽造文書を作成したりする技術も利用している危険なグループ。ReliaQuestは、認可されていないファイル共有サイト、トレントサイト、ピアツーピアサイトをブロックすることを推奨している。
8220 Gang、検知回避のため新たなクリプター「ScrubCrypt」を使う
1月から2月にかけて、8220 Gangが新たな攻撃キャンペーンを実施しているのを、FortiGuard Labsが観測。同グループはクリプトジャッキング攻撃やマイニング攻撃を行うことで知られている。今回の攻撃では、マイニング攻撃実施のためにOracle Weblogicサーバーの脆弱性が狙われ、新たなツール「ScrubCrypt」が使われているという。
ScrubCryptはクリプターで、暗号化のほか、あらゆるセキュリティプログラム(Windows Defenderなど)をバイパスできるよう、アプリケーションの修正も行うとされる。ScrubCryptは標的マシン上でまずデバッグソフトウェアと仮想マシンの存在を検出し、OSバージョンを確認する。これを受けて攻撃者は攻撃を続行するか否かを決定する。
その後、ScrubCryptはレジストリエントリに編集を加えることで持続性を確立。最後にペイロードを復号してメモリ内でロードし、マイナープロセスを起動してモネロのマイニングを始めるという。なおマイニングに使用される暗号資産ウォレットのアドレスと今回のキャンペーンで使われるIPアドレスは、8220 Gangが過去の攻撃で使用していたものと同じ。
対策として組織に推奨されるのは、標準的なパッチマネジメントプログラムに従い、信頼できるアンチマルウェアソリューションを利用することや、脅威インテリジェンスプラットフォームを使ってIoCを追跡したり、攻撃パターンを理解したりすることなど。
2023年3月13日
ハイライト
ミネアポリスの公立学区が、Medusaとして知られるグループにハッキングされる
Medium Cybersecurity – Mar 13 2023 03:50
シスコ、企業向けルーターに影響するDoSの欠陥CVE-2023-20049を修正
Security Affairs – Mar 12 2023 09:12
スマートデバイスの脆弱性とその対策 | Kaspersky公式ブログ
We use words to save the world | Kaspersky Lab Official Blog – Mar 13 2023 06:09
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
