2023.04.19 06:26:25
Threat Report
APT28による脆弱性CVE-2017-6742を悪用したシスコ製ルーターへの攻撃について、米CISAなどが注意喚起

サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年4月19日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
APT28が既知の脆弱性を悪用し、シスコ製ルーターにおいて偵察とマルウェアの展開を実施(CVE-2017-6742)
CISA Current Activity – Apr 18 2023 12:00
APT28による、脆弱性CVE-2017-6742を悪用したシスコ製ルーターへの攻撃について、英国NCSC、米NSA、CISA、FBIが共同アドバイザリを公開し、2021年に行われたAPT28の攻撃に関連する詳しい戦術、技術、手順(TTP)を提供した。APT28はFancy Bear、STRONTIUM、Pawn Stormといった名称でも知られ、その正体はおそらく、ロシア軍参謀本部情報総局(GRU)に属する第85特殊技術総センター(GTsSS)の軍事諜報部隊26165だろうと考えられている。
アドバイザリによれば、APT28は2021年、SNMPおよびSNMPの処理に関する脆弱性CVE-2017-6742を利用し、世界中のシスコ製ルーターにアクセスしていたという。標的となったのはヨーロッパの少数の組織、米国の複数の政府機関、およびウクライナの250の被害者だった。なおCVE-2017-6742は2017年6月29日に初めてシスコによって公表された古い脆弱性で、パッチ適用済みのソフトウェアがすでに利用可能となっている。
APT28がこれらの攻撃で展開していたのは「Jaguar Tooth」と名付けられたマルウェア。Jaguar Toothは侵害されたデバイスからさらなる情報を入手し、それをTFTP経由で抜き取っていたという。また同マルウェアによりバックドアが設置され、認証なしでのアクセスが可能な状態となっていた。
英米政府は、このアドバイザリ内で説明されているTTPが今なお脆弱なシスコ製デバイスに対して使われている可能性があるとして注意を呼びかけるとともに、緩和策も提供している。
GitHubリポジトリのテイクダウンにより、RedLineマルウェアのオペレーションが妨害される
Security Week – Apr 18 2023 16:09
情報窃取型マルウェア「RedLine」のコントロールパネルによって利用されるGitHubリポジトリがテイクダウンされた後、同マルウェアのオペレーションが停止されたことを、ESETが報告した。
RedLineは遅くとも2020年初頭から存在するコモディティマルウェアで、広範なデータ抜き取り性能を有しており、「スティーラー・アズ・ア・サービス」形式でアンダーグラウンドフォーラムやTelegramチャンネルにて販売されている。
ESETは、SaaSプラットフォームプロバイダーのFlareとともに、RedLineのコントロールパネルが4つのGitHubリポジトリをデッドドロップリゾルバとして利用しているのを発見。報告を受けたGitHubは当該リポジトリを停止したため、RedLineスティーラーのオペレーションも妨害されたという。
ESETは、この措置によって「実際のバックエンドサーバーが影響を受けることはない」としながらも、「RedLineの運営者は顧客に新しいパネルを配布することを余儀なくされるだろう」、と述べている。
APT41、標的型の情報窃取攻撃でGoogleのレッドチームツールを利用
Dark Reading – Apr 18 2023 17:58
中国関連グループAPT41が、標準的なオープンソースのペネトレーションテストツール「Google Command and Control (GC2)」を使って台湾のメディア組織やイタリアの求職系サイトを標的にしていたという。
APT41はHOODOO、Winnti、Bronze Atlasといった名称でも知られ、これまでにもさまざまな標的を狙ってきた。これには、政府、ハイテクメーカー、電気通信事業者、航空関連組織、NGOのほか、中国の政治的・経済的利益と合致するターゲットが含まれる。
Googleの脅威分析チーム「Threat Analysis Group (TAG)」によれば、APT41は最近、フィッシングメールを使って台湾のメディア組織を標的にしたという。このメールにはリンクが複数含まれており、これらはDrive内でホストされるパスワードで保護されたファイルへと繋がっていた。そしてこのファイルが開かれたあと、GC2のペイロードが呼び出されたという。
GC2ツールはコマンドをGoogle Sheetsから取得(おそらく、悪意ある活動を隠して検出を回避するため)して、データをGoogle Driveへと抽出する。また同ツールにより、Drive内から被害者のシステムへとさらなるファイルをダウンロードすることも可能になるという。GC2は、昨年7月のイタリアの求人検索サイトへの攻撃でも使われていた。
TAGによると、APT41は現在、Cobalt Strikeなどの正規ツールを使う方向へと戦術を変えてきており、また、その意図や活動を隠すためにクラウドサービスも利用するようになってきているとのこと。
2023年4月19日
ハイライト
Goldosonマルウェア、 Google Playストアで1億ダウンロードに到達
Information Security Buzz – Apr 18 2023 17:45
Contiの元メンバーとFin7 APT、新たなバックドアDominoのために手を組む
Apple社製MacOSデバイスをLockBitランサムウェアが標的にし始めている
Information Security Buzz – Apr 18 2023 11:45
CISA、ChromeとMacOSのバグを悪用が確認済みの脆弱性カタログに追加(CVE-2023-2033、CVE-2019-8526)
Security Week – Apr 18 2023 10:52
Zarazaボットマルウェアによる攻撃で、ChromeとEdgeのブラウザが標的に
SC Magazine US – Apr 18 2023 13:27
PowerShellを用いたデータ窃取: Vice Societyランサムウェアの最新兵器
新たなQBotキャンペーン、PDFやWindowsスクリプトファイルを通じマルウェアを拡散
Bitdefender – Apr 18 2023 11:26
不動産会社OrangeTee & Tie、顧客・従業員25万人に影響与えたデータ侵害めぐり罰金を科される
DataBreaches.net – Apr 18 2023 13:11
親イスラム派ハクティビスト「Anonymous Sudan」はおそらくロシアのKillnetグループの隠れみの
Medium Cybersecurity – Apr 18 2023 16:32
Raspberry Robin:回避手法への対抗策とエクスプロイトの分析
Check Point Research – Apr 18 2023 17:16
脆弱な認証情報、未パッチの脆弱性、悪意あるOSSパッケージがクラウドセキュリティリスクをもたらす
CSO Magazine – Apr 18 2023 10:11
関連記事:クラウドセキュリティとは?リスクや対策、クラウド事業者の比較ポイントなどについて解説!
「Rise of Log4Shell」 – Log4jの映画が間も無く登場!
Medium Cybersecurity – Apr 18 2023 16:11
Chromeのアクティブなセキュリティ脆弱性:今すぐアップデートを!(CVE-2023-2033)
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。