情報スティーラーのみならず：3CX狙ったサプライチェーン攻撃でバックドア「Gopuram」が展開される

山口 Tacos

2023.04.04

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月4日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

情報スティーラーだけではない：バックドア「Gopuram」が3CXへのサプライチェーン攻撃を介して展開される

Securelist – Apr 03 2023 12:16

3CXを狙ったサプライチェーン攻撃で展開された悪意のあるペイロードは情報スティーラーだけではなかった。カスペルスキーによると、バックドア「Gopuram」もこの攻撃の中で展開されていたという。カスペルスキーは、Gopuramがこの攻撃チェーンにおける主要なインプラントであり、最終的なペイロードであると考えている。

同社は2020年、東南アジアの暗号資産関連企業の侵害を調査していた際、被害者のマシン上にGopuramとバックドア「AppleJeus」（北朝鮮の脅威グループLazarusの用いるバックドア）が共存しているのを発見。それ以来、Gopuramを追跡してきた。

3年ほどGopuramの被害者は少ないままだったが、2023年3月に感染数が増加し始め、のちにこの増加が3CXのサプライチェーン攻撃と直接関連していることがわかったのだという。そしてカスペルスキーはGopuramとAppleJeusの関係性などを踏まえ、3CXを狙ったキャンペーンはLazarusによるものであると中程度〜高い確度で評価している。

今回のサプライチェーン攻撃では、Gopuramが展開されたマシンの台数は10台未満だった。このことからは、同バックドアがかなりピンポイントで使用されていることが伺えるという。カスペルスキーは同攻撃キャンペーンの調査はまだ完全ではないとし、今後もこのサプライチェーン攻撃で展開されたインプラントの分析を続けていくと述べている。

ウエスタンデジタルでデータ侵害

Dark Reading – Apr 03 2023 19:15

3月26日に発生し、現在も進行中であるとされるセキュリティ侵害により、ウエスタンデジタルのサービス運営に支障が出ている。

同社は、権限を持たない第三者が同社の一部システムを侵害することに成功し、そこからデータを取得したと発表している。ただ、取得されたデータの内容や範囲については現在調査中とのこと。

現在も障害により同社のサービスであるMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerへのアクセスができない状態となっている（参考：”My Cloud Home and My Cloud OS 5 Services are DOWN”）。

VPNを使用した新たなマルバタイジング攻撃で、暗号資産スティーラー「OpcJacker」が投下される

HackRead – Apr 03 2023 21:52

トレンドマイクロの研究者らは2023年2月、暗号資産の窃取が可能なマルウェア「Opcjacker」を配布する、イランのユーザーを狙った新たなマルバタイジングキャンペーンを発見。

今回分析されたサンプルでは、悪意ある広告は実在のVPNアプリの宣伝を装っていたという。これに騙されたイランのユーザーは、Opcjackerを含むアーカイブファイルをダウンロードさせられることとなった。

OpcJackerの主な機能には、キーロギング機能、スクリーンショット撮影機能、ブラウザからの秘密データ窃取機能、追加のモジュールのロード機能、暗号資産アドレスを置き換える機能などがあるという。

トレンドマイクロはOpcJackerのオペレーターは金銭的動機を持つアクターだろうと指摘しつつも、OpcJackerの機能に秘密データ窃取機能や追加モジュールのロード機能が含まれることを踏まえ、同マルウェアが金銭奪取以外の目的で使われる可能性があることも示唆している。なお、OpcJackerはまだ開発段階（テスト段階）にあるものとみられるとのこと。

2023年4月4日

ハイライト

関連記事：WordPressプラグインElementor Proの脆弱性をハッカーが悪用

Elementor Proの脆弱性を脅威アクターらが盛んに悪用

Heimdal Security Blog – Apr 03 2023 09:37

米CISA、スパイウェア配布のために悪用されるゼロデイ数件への早急なパッチ適用を呼びかけ（CVE-2021-30900、CVE-2022-38181ほか）

SC Magazine US – Apr 03 2023 15:16

関連記事：スパイウェアベンダーによるAndroidやiOSデバイスでのゼロデイ悪用が発覚（CVE-2022-42856、CVE-2022-3723ほか）

Quantum TitanのAI深層学習エンジンがゼロデイ・フィッシング攻撃をリアルタイムで検知＆ブロック

Check Point – Apr 03 2023 11:58

TMX Financeでのデータ侵害により480万人が影響受ける

SecurityWeek – Apr 03 2023 10:20

Service NSWでの侵害により個人データが漏洩、顧客数千人が影響受ける

DataBreaches.net – Apr 03 2023 12:11

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。