新たなLinuxマルウェアMéloféeに中国のAPTグループが関与か | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新たなLinuxマルウェアMéloféeに中国のAPTグループが関与か

Threat Report

Silobreaker-CyberAlert

新たなLinuxマルウェアMéloféeに中国のAPTグループが関与か

山口 Tacos

山口 Tacos

2023.03.31

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年3月31日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

新たなLinuxマルウェアMéloféeに中国のAPTグループが関与か

Security Affairs – Mar 30 2023 13:18

これまで確認されていなかった新たなマルウェア「Mélofée」がLinuxサーバーを狙っているのを、Exatrackの研究者らが発見。研究者らは、このマルウェアと中国系APTグループ(特にWinntiグループ)との関連を、高い確度で指摘している。また、Winntiグループとの関連が指摘されるLinuxマルウェア「HelloBot」とMéloféeはインフラを共用しているという。

Méloféeは、任意のコマンドの実行、ファイル操作の実行、現在のプロセスの終了と持続性の除去、ソケットの作成、シェルの起動を行うことが可能。またMéloféeには、オープンソースプロジェクト「Reptile」をベースにしたルートキットが盛り込まれている。

研究者によると、Méloféeの機能は比較的単純だが、同マルウェアによって攻撃者は検出をかいくぐって攻撃を行えるようになるかもしれないとのこと。またMéloféeのインプラントは広く観測されているわけではないことから、攻撃者がその使用を価値の高いターゲットに限定している可能性が高いことが伺えるという。

ランサムウェアグループなどがIBM Aspera FaspexにおけるRCEの欠陥を悪用(CVE-2022-47986)

Help Net Security – News – Mar 30 2023 13:39

攻撃者らが組織の侵害を試みるため、IBM Aspera Faspexにおける重大な脆弱性(CVE-2022-47986)を悪用している。

CVE-2022-47986はYAMLのデシリアライゼーションに関する欠陥で、遠隔の攻撃者が特別に細工したAPIの呼び出しを送ることで任意のコード実行が可能になる恐れがある。CVSSスコアは当初8.1とされたが、その後実際の深刻度を反映させるために9.8に引き上げられていた。

CVE-2022-47986の悪用の試みはこれまでに複数観測されている。3月はじめ、SentinelOneの研究者らはIceFireランサムウェアを使用する攻撃者がトルコ、イラン、パキスタン、UAEの組織のLinuxマシンを攻撃するのを観測。また、先月にもGreynoiseによって複数の悪用の試みが観測されていた。

Rapid7のセキュリティ研究者は、Aspera Faspexが通常ネットワーク境界にインストールされていることや、パッチを適用していない組織が複数存在することに懸念を示した。また同脆弱性の技術的な詳細やPoCエクスプロイトコードがすでに公開されている点も懸念材料となっている。

企業の管理者には、IBM Aspera Faspexサーバーを直ちにアップグレードし、侵害の痕跡がないかを調べることが推奨されている。

中国グループRedGolfがバックドアKEYPLUGを用いてWindowsやLinuxシステムを標的に

The Hacker News – Mar 30 2023 15:58

中国の国家支援型脅威活動グループ「RedGolf」が、WindowsおよびLinux向けバックドア「KEYPLUG」を使用した攻撃に関与していると指摘されている。Recorded Futureによると、同グループは特に活動量の多い中国の脅威アクターグループで、長年にわたって世界中の多様な業界に対するサイバー活動を行ってきた可能性が高いという。

Recorded FutureはKEYPLUGのサンプル群に加え、遅くとも2021年〜2023年にRedGolfが使用した運用インフラ(コードネームは「GhostWolf」)を検出。GhostWolfは、KEYPLUGのC2として機能する42件のIPアドレスで構成されているという。またRecorded Futureは、RedGolfがCobalt StrikeやPlugXといったその他のツールも使用していると指摘した。

なお中国の脅威アクターらによるKEYPLUGの使用自体は、2022年3月にMandiantによって初観測されていた。この攻撃では、米国の政府ネットワークが2021年5月から2022年2月にかけて狙われていた。またその後、2022年10月にはMalwarebytesが、KEYPLUGの展開を伴う別の攻撃キャンペーンについて報告。同キャンペーンでは、8月初頭にスリランカの政府関連組織がインプラント「DBoxAgent」を用いて狙われていた。いずれのキャンペーンも「Winnti」(別名APT41、Barium、Bronze Atlas、Wicked Panda)によるものだとされているが、Recorded FutureはWinntiとRedGolfが「密接に重なり合っている」と述べている。

RedGolfの攻撃への対策として、組織には日常的なパッチ適用や、外部と接するネットワークデバイスへのアクセスの監視、特定済みC2インフラの追跡・ブロック、侵入検知/予防システムの設定などを行うことが推奨される。

2023年3月31日

ハイライト

 

侵害まとめ:Lumen、QNAP、NCB、イタリアトヨタ

BankInfoSecurity – Mar 30 2023 18:39

 

VivendiのSee Ticketsにおけるデータ侵害

Medium Cybersecurity – Mar 30 2023 23:35

 

データ漏洩関連訴訟でのCareFirstめぐる判決理由は「実害」要件

SC Magazine US – Mar 30 2023 21:06

 

英NHS Highland、HIV患者のEメールが漏洩したことめぐり叱責受ける

BBC News – Technology – Mar 30 2023 09:46

 

オランダ鉄道、データ侵害について顧客78万人に注意喚起

DataBreaches.net – Mar 30 2023 12:10

 

フェラーリがデータ侵害公表|アップル、セキュリティアップデートをリリースし脆弱性数件を修正

Tech-Wreck InfoSec Blog – Mar 30 2023 12:43

 

Microsoft Azure SFX における脆弱性「Super FabriXss」はリモートコード実行につながる恐れ(CVE-2023-23383)

Security Affairs – Mar 30 2023 21:01

 

Azureにおけるパッチリリース済みの脆弱性により、リモートコード実行が可能に(CVE-2023-23383)

SiliconANGLE – Mar 30 2023 17:00

 

スパイウェア関連のキャンペーンでiOSおよびAndroidのゼロデイ欠陥が悪用される

BankInfoSecurity – Mar 31 2023 00:39

関連記事:スパイウェアベンダーによるAndroidやiOSデバイスでのゼロデイ悪用が発覚(CVE-2022-42856、CVE-2022-3723ほか)

 

サイバーリスク管理プラットフォームが組み込まれた、リスクベースの脆弱性管理

Qualys Blog – Mar 31 2023 05:12

 

今すぐアップデートを!アップルが盛んに悪用される脆弱性を修正、新機能も登場(CVE-2023-23529)

Malwarebytes Unpacked – Mar 30 2023 06:00

 

ゼロデイを悪用したハッキングキャンペーンにスパイウェア企業が関与か(CVE-2022-42856、CVE-2022-4135ほか)

SC Magazine US – Mar 30 2023 17:15

 

3CX製VoIPソフトウェアをサプライチェーン攻撃が襲う、攻撃者はホスト上にマルウェアをドロップ

SC Magazine US – Mar 30 2023 15:18

関連記事:3CX製ソフトウェアへのサプライチェーン攻撃で、WindowsとmacOSのユーザーが標的に

 

Lummaスティーラーによって再び登場した「Heaven’s Gate」手法

Reverse Engineering – Mar 30 2023 14:00

 

DBatLoaderが複数のマルウェアペイロードとともにヨーロッパ諸国を襲う

Cyware – Mar 30 2023 21:27

 

暗号資産関連ハッキングまとめ:Euler Finance、SafeMoon、BitKeep

BankInfoSecurity – Mar 30 2023 23:39

 

MacマルウェアのMacStealerは偽のP2Eアプリとして拡散

Trend Micro Research News Perspectives – Mar 30 2023 12:22

関連記事:新たなmacOSマルウェア「MacStealer」がiCloudキーチェーンのデータやパスワードを窃取

 

ハッカーグループWinter Vivern、NATO関係者らのEメールを盗むためZimbraの欠陥を悪用(CVE-2022-27926) 

Bleeping Computer – Mar 30 2023 21:56

 

APT43:新たにAPT指定された、北朝鮮発のサイバー脅威

Heimdal Security Blog – Mar 30 2023 10:36

 

大規模サプライチェーン攻撃で、トロイの木馬化されたWindowsおよびMacアプリにより3CXユーザーが狙われる

ArsTechnica – Mar 30 2023 17:51

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (31 March 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ