Threat Report

Silobreaker-CyberAlert

自己増殖し、高速で暗号化を行うランサムウェア「Rorschach」が出現

akamatsu

2023.04.05

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月5日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

自己増殖し、高速で暗号化を行うランサムウェア「Rorschach」が出現

Security Week – Apr 04 2023 12:52

新たに特定されたランサムウェア「Rorschach」は数あるランサムウェアファミリーの中でもトップレベルに素早く暗号化を実行できるとして、Check Pointが注意喚起。Check Pointが行ったテストでは、Rorschachは22万個のファイルを4分半で暗号化したという。

Rorschachはその効率的な暗号化ルーチンにより高速で暗号化を行えるほか、ドメインコントローラー上で実行されれば自動で自己拡散することが可能。

そのほか、Rorschachについては以下のような点が明らかになっている：

・被害者はすでに少なくとも1組織いる（米国）

・BabukやLockBit、Yanlowangなどのランサムウェアとの類似点は確認されたものの、Rorschachと他のマルウェアファミリーとのつながりはないとみられる。またRorschachのオペレーターは既知のランサムウェアグループとは関連していない模様。

・実行には、cy.exe（winutils.dllをサイドロードするために実行されるCortex XDR Dump Service Tool）、winutils.dll（ローダー兼インジェクターで、config.iniをメモリ内でロードしてnotepad.exeへ注入する）、config.ini（Rorschachランサムウェア自体）の3つのファイルが使用される。

・Rorschachはドメインコントローラー上で実行されると、ドメイン上の他のマシンへの自動拡散を可能にするグループポリシーを作成する。

・Rorschachには分析を阻止するためのセーフガードが備わっており、直接システムコールを呼び出すことによって防御メカニズムを回避できる。ランサムウェアでこのような直接システムコールを呼び出す機能が観測されるのは初。

・Rorschachは感染したシステムの言語設定をチェックし、ロシアを含む独立国家共同体（CIS）の国々で使用される言語を検出すると、自身を終了させる。

・Rorschachのオペレーターや開発者が何者なのかは不明。Rorschachはランサムウェアオペレーションとしては比較的珍しいことに、ブランディングを利用していない。

「データを盗んだ証拠」は偽物で、Royalランサムウェアへの感染につながる罠だった

BankInfoSecurity – Apr 04 2023 18:10

Royalランサムウェアグループがソーシャルエンジニアリング攻撃を使って1,000以上の組織を標的にしているとみられることを、脅威インテリジェンス企業Red Senseが明かした。

Red Senseによると、この攻撃でRoyalは組織を騙すために数段階の騙しの技術を用いているという。Royalはまず、「お前の組織はランサムウェアグループに攻撃された」という趣旨の偽の通知をターゲット組織に送り、その後、「盗まれたデータのリスト」とされるファイルを開くよう仕向ける。しかしこの「リスト」は実際にはマルウェアローダーで、開くとRoyalへの感染につながる恐れがあるという。

またRed Sensは、過去にインシデントレスポンス企業Areteによって報告された「Midnight Group」というランサムウェアグループが、Royalによってでっち上げられた虚偽のグループである可能性についても言及している。なおMidnight Groupを名乗るアクターによる攻撃では、アクターはターゲット組織にランサムウェア感染の通知をし、「身代金を支払わなければダークウェブへデータを掲載する」と脅していた。

Royalは、「ハッキングを行うよりも、被害者を騙して自らのランサムウェアをダウンロードさせる方が簡単である」という結論に至ったのかもしれない。

2023年4月5日

ハイライト

ALPHV/BlackCatランサムウェアのアフィリエイトがVeritas Backupソリューションのバグをターゲットに（CVE-2021-27876、CVE-2021-27877、CVE-2021-27878）

Security Affairs – Apr 04 2023 20:41

AlienFoxが進化し、クリプトマイニング目的でさまざまなクラウドサービスを標的とすることが可能に

Cyware – Apr 05 2023 05:53

Netscout、DDoS攻撃の件数が2019年から約6倍に跳ね上がったことを明らかに

SiliconANGLE – Apr 04 2023 10:00

ウェストバージニア州病院、「Donut」上でのデータ流出による侵害を報告

BankInfoSecurity – Apr 04 2023 21:39

法律事務所Genova Burns経由でUberのデータが侵害され、不特定多数のドライバーが影響受ける

Medium Cybersecurity – Apr 04 2023 11:37

オーストラリア：データ侵害でTAFE SAの学生2,000人超の秘密データが盗まれる

Bitdefender – Apr 04 2023 11:27

Adobe ColdFusionの悪用の予防と検知（CVE-2023-26360、CVE-2023-26359）

Help Net Security – News – Apr 04 2023 12:23

ChatGPTのプロンプトだけを使い、検出されずにデータ抜き取りを行うゼロデイを構築した話

Forcepoint – Apr 04 2023 11:44

CactiおよびRealtekの脆弱性狙った攻撃が増加（CVE-2022-46169、CVE-2021-35394）

Cyware – Apr 05 2023 05:53

Cisco ExpresswaシリーズとCisco TelePresence Video Communication Serverに脆弱性（CVE-2022-20812、CVE-2022-20813）

Cisco Security Advisory – Apr 04 2023 21:08

国家に支援された攻撃者がゼロデイやNデイエクスプロイトを利用してスパイ活動を実施するケースが増加：Google

Cyware – Apr 04 2023 08:49

CVE-2023-26360 – Adobe ColdFusionにおける任意コード実行の脆弱性

Imperva Data Security Blog – Apr 04 2023 10:04

BingBang、Super FabriXss、macOS上のトロイの木馬化した3CX、Secure Code Game、Real World Crypto 2023 – ASW #235

SC Magazine US – Apr 04 2023 19:49

「データを盗んだ証拠」はRoyalランサムウェアへの感染につながる偽物

BankInfoSecurity – Apr 04 2023 18:10

脅威アクターらがWinRARで作成したSFXを悪用し、検出不能なバックドアを追加

SC Magazine US – Apr 04 2023 23:59

新たなマルウェアファミリーMéloféeは中国のAPT群に関連か

Cyware – Apr 04 2023 08:49

米CISA、NATO加盟国への攻撃で悪用されているZimbraの欠陥を「悪用が確認済みの脆弱性カタログ」に追加（CVE-2022-27926）

Security Affairs – Apr 04 2023 15:48

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。