Threat Report

Silobreaker-CyberAlert

新進のランサムウェア種「Trigona」に注意を

山口 Tacos

2023.03.17

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月17日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

新進のランサムウェア種「Trigona」に注意を

Unit 42 – Palo Alto Networks Blog – Mar 16 2023 13:00

2022年10月後半に初めて観測された比較的新しいランサムウェア種「Trigona」をPalo Alto NetworksのUnit 42が分析し、詳細なレポートを公開した。

Unit 42はTrigonaのバイナリとランサムノート（身代金要求メモ）を分析した結果を踏まえ、同ランサムウェアが2022年12月に非常に活発で、少なくとも15の被害者が侵害されたと考えているという。これらの被害組織の事業領域は、製造、金融、建築、農業、マーケティング、およびハイテク産業で、所在地は米国、イタリア、フランス、ドイツ、オーストラリア、ニュージーランドだったとのこと。

このほか、Unit 42は、以下のような点について報告している：

・Trigonaランサムウェアは、パスワードで保護された実行ファイルを使ってマルウェアを難読化するという珍しい手法を用いる。

・TrigonaランサムウェアのバイナリーはTDCP_rijndael（DelphiのAESライブラリー）を使ってファイルを暗号化後、ファイル拡張子._lockedを追加し、レジストリーキーを変更して持続性を確保して身代金要求メモを投下する。

・身代金要求メモは特徴的で、通常のテキストファイルは使われずにHTMLアプリケーションとして提供される。

・TTPの重複から、過去にCryLockランサムウェアを展開していた脅威アクターがTrigonaランサムウェアの展開に移行した可能性が考えられる。

・リークサイトは開発途上にある。

ロシア関連APT「Winter Vivern」がヨーロッパやアジアの政府を標的に

Security Week – Mar 16 2023 11:52

ロシアが支援するAPTグループ「Winter Vivern」が、最近のキャンペーンでポーランド、ウクライナ、イタリア、インドの政府組織を狙っている。

Winter Vivernはベラルーシやロシアの政府を支援していることで知られ、2021年に初めて観測されて以降、インドやリトアニア、スロバキア、バチカンの政府組織を標的にしてきた。

SentinelOneが観測した最近の攻撃キャンペーンでは、Winter Vivernはポーランドのサイバー犯罪対策機関やウクライナのセキュリティサービスなどのWebページを真似たページを、悪意あるドメインで作成していたという。Winter Vivernはこういったフィッシングページや、悪意あるOfficeドキュメントを攻撃で使用していたそう。また、Winter Vivern自身のリソースは限られているものの、共有されているツールキットや正規のWindowsユーティリティを攻撃に利用しているとのこと。

同グループが最近の攻撃で展開していたマルウェアの1つはリモートアクセス型トロイの木馬「Aperetif」で、同マルウェアは、システム情報の収集、感染したシステムへのアクセスの維持、C2サーバーへの接続などの性能を備える。

SentinelOneによると、シンプルながらも効果的な攻撃技術・ツールを使って攻撃を成功させていることや、標的を誘い込む能力などからは、Winter Vivernの技術の高度さや戦略的意図などが示されているとのこと。

2023年3月17日

ハイライト

関連記事：マイクロソフト月例パッチ：盛んに悪用されるOutlookのゼロデイなどが修正される（CVE-2023-23397、CVE-2023-24880ほか）

米CISA、実際の攻撃で悪用されるAdobe ColdFusionの脆弱性について注意喚起（CVE-2023-26360）

Heimdal Security Blog – Mar 16 2023 10:36

米政府機関狙った攻撃で、サイバー犯罪者とAPTグループがTelerikの脆弱性を悪用（CVE-2019-18935）

Security Week – Mar 16 2023 11:14

シリーズ「Lab Walkthrough」 — Drupalgeddon 2 [CVE-2018–7600]

Medium Cybersecurity – Mar 16 2023 14:16

脆弱性スポットライト：Node-SQLite3の問題がGhost CMSでのサービス拒否状態につながる恐れ（CVE-2022-43441）

Talos Intelligence Blog – Mar 16 2023 18:32

MozillaがFirefox 111をリリースし、深刻度の高い脆弱性にパッチ（CVE-2023-28161、CVE-2023-28163ほか）

SecurityWeek – Mar 16 2023 15:15

セキュリティ企業Rubrik、GoAnywhereの脆弱性を悪用した攻撃の最新の被害者に（CVE-2023-0669）

News ≈ Packet Storm – Mar 16 2023 14:35

Independent Living Systemsでデータ侵害、400万人が影響受ける

SecurityWeek – Mar 16 2023 12:31

Acadianの子会社NorthStar EMSでハッキング被害、82,000人超が影響受ける

Medium Cybersecurity – Mar 17 2023 05:18

BIgIDの秘密探知機能は将来のデータ侵害やデータ流出のリスクを軽減

Help Net Security – News – Mar 17 2023 03:25

Independent Living Systemsでのデータ侵害で420万人超が影響受ける

SC Magazine US – Mar 16 2023 22:37

クリプトジャッキンググループTeamTNT、データ抜き取りを隠すためおとり用マイナーを使用か

The Hacker News – Mar 16 2023 13:39

ロシアを拠点とするグループAPT29が情報交換システムを悪用して政府を攻撃

Bitdefender – Mar 16 2023 13:18

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。