Threat Report

Silobreaker-CyberAlert

新たなランサムウェアDark Power、活動開始1か月で既に10組織を攻撃・脅迫

山口 Tacos

2023.03.27

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月25日と26日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

新たなランサムウェアDark Power、活動開始1か月で既に10組織を攻撃・脅迫

Bleeping Computer – Mar 25 2023 16:29

2023年1月29日から攻撃を開始した新たなランサムウェアオペレーション「Dark Power」は、既に最初の被害者10組織をダークウェブのデータリークサイトに掲載し、身代金が支払われない場合データを公開するとして被害者を脅迫し始めている。

Trellixによると、Dark Powerは標的を絞るのではなく、場当たり的に世界各地の組織を狙うランサムウェアオペレーションで、要求される身代金は10,000ドルと比較的低額だという。また同ランサムウェアはまだハッカーフォーラムやダークウェブで売り出されたり宣伝されたりしていないことから、プライベートなプロジェクトであると思われる。

また興味深いことに、Dark Powerのランサムウェアは2つのバージョンが出回っており、それぞれが別の暗号化鍵スキームを用いている。1つ目の亜種はSHA-256アルゴリズムを使ってASCII文字列をハッシュ化して2分割し、一方をAES鍵として、他方を初期化ベクトルとして使用する。一方で、2つ目の亜種はSHA-256ダイジェストをAES鍵として使い、128ビットの固定値を暗号化ノンスとして使う。

さらに、Dark Powerのランサムノート（身代金要求メモ）は特徴的で、8ページものPDFドキュメントとなっている。内容は、何が発生したのかに関する情報と、攻撃者とのqToxメッセンジャーを利用した連絡の取り方など。また、有効な復号ツールを入手するには72時間以内に指定のウォレットアドレスへ10,000ドル相当のXMR（モネロ）を送金する必要がある旨も記されている。

Trellixは被害者を10組織確認しており、その所在地は米国、フランス、イスラエル、トルコ、チェコ、アルジェリア、エジプト、ペルーだったと報告している。Dark Powerグループはこれらの組織のネットワークからデータを盗んだと主張しており、身代金が払われなければデータを公開すると脅している。このことから、Dark Powerは新たな二重恐喝グループであると言える。

FBI、サイバー犯罪フォーラムBreachedのデータベースを入手していたことを認める

Bleeping Computer – Mar 24 2023 21:59

米FBIは金曜、BreachForums（「Breached」とも呼ばれる）のデータベースへアクセスしたことを認めた。また、同フォーラムの所有者とされる20歳のConor Brian Fitzpatrick被告（「Pompompurin」として知られる）は、同フォーラム上で「米国民数百万人および米国内外の企業、組織、政府機関」に属する機密性の高い個人情報の窃取・販売に関与したとされることをめぐって起訴された。

FBIのJohn Longmire特別捜査官によると、FBIはBreachedのデータベースを入手済みであり、これとアクティビティログ、およびFitzpatrick被告の使用していたインターネット接続などを踏まえて同被告がPompompurinであることの裏付けを取ったという。

同捜査官によると、pompompurinのアカウントへのアクセスは通常、VPNまたはTorを通じて行われていた。だが2022年6月27日前後にVPNもTorも使わずにアクセスが行われたことがあり、その際にFitzpatrick被告のIPアドレス69.115.201.194が使われていたとのこと。

またFitzpatrick被告も、自身がBreachForumsの所有者兼運営者であることと、RaidForums上のpompompurinアカウントが自身のものであることを認めており、BreachForumsでの1日あたりの稼ぎを約1,000ドルだったと見積もっているという。この資金は、フォーラムの運営や他のドメインの購入に充てられていた。

なお、Breachedフォーラムはpompompurin亡き後の管理者である「Baphomet」によって閉鎖されている。

関連記事：BreachForumsの運営者「Pompompurin」を逮捕：FBIが発表

マイクロソフトはOutlookの脆弱性の検知しづらい悪用について注意喚起、ロシア関連ハッカーが悪用（CVE-2023-23397）

The Hacker News – Mar 25 2023 06:13

マイクロソフトは金曜、Outlookの脆弱性CVE-2023-23397関連のIoCの発見に役立てることのできるガイダンスを共有した。

CVE-2023-23397はCVSSスコアが9.8の重大な特権昇格の脆弱性で、悪用されるとユーザー操作なしでのNTLMハッシュの窃取やリレー攻撃が可能になる恐れがある。

同脆弱性は2023年3月のマイクロソフト月例パッチで修正されているものの、それ以前にロシアを拠点とする脅威アクターらによるヨーロッパの組織（政府、運輸、エネルギー、および軍事部門）を狙った攻撃で悪用されていた。またマイクロソフトのインシデントレスポンスチームは、2022年4月の時点で悪用されていた可能性があると述べている。

マイクロソフトが報告したある攻撃チェーンでは、NTLMリレー攻撃を成功させた脅威アクターはExchange Serverへ認証なしでアクセスし、持続性確保のためにメール受信箱内フォルダの権限を変更していたという。その後、侵害されたメールアカウントは同一組織内の他のメンバーを狙ってさらなる有害メールを送信するために使われた。

マイクロソフトは、NTLMv2ハッシュを利用して認証なしでリソースへアクセスする方法は新しいものではないとしながらも、CVE-2023-23397の悪用は新しく、ステルス性の高い技術であると指摘。また組織に対し、SMBClientのイベントログ、プロセス作成のイベント、およびその他のネットワークテレメトリをレビューしてCVE-2023-23397が悪用された可能性があるかどうかを特定するよう推奨した。

関連記事：マイクロソフト月例パッチ：盛んに悪用されるOutlookのゼロデイなどが修正される（CVE-2023-23397、CVE-2023-24880ほか）

2023年3月25日

ハイライト

衝撃的なことに、テスラがハッキングされた！ – ハッカーらは10万ドルとModel3を獲得

Medium Cybersecurity – Mar 24 2023 23:15

英国年金保護基金がGoAnywhere関連の侵害での従業員データの流出を認める

DataBreaches.net – Mar 24 2023 12:40

関連記事：Clopランサムウェアがシェルや日立エナジーなど60の新たな被害者をリークサイトに追加

2023年3月26日

ハイライト

2023年Pwn2Ownバンクーバー大会で、27のゼロデイの公開に対し103万5千ドルとテスラが出場者に授与される

Security Affairs – Mar 25 2023 15:44

Vice Societyがプエルトリコの水道公社への攻撃について犯行声明を出す

Security Affairs – Mar 26 2023 06:05

ランサムウェアWannaCryによる2017年のサイバー攻撃

Medium Cybersecurity – Mar 25 2023 16:48

スパイウェアPegasusのサイバー攻撃

Medium Cybersecurity – Mar 25 2023 17:52

新たなマルウェア「DotRunpeX」が、有害な広告を介して複数のマルウェアファミリーを配布

Medium Cybersecurity – Mar 25 2023 07:32

ClopによるGoAnywhereのゼロデイ用いた攻撃、現在の被害組織数は130に

BankInfoSecurity – Mar 25 2023 18:09

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。