EvilExtractor：Windowsシステムを狙う新たなオールインワン・スティーラー

Yoshida

2023.04.25

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月25日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Windowsシステムを狙う新たなオールインワン・スティーラー「EvilExtractor」がダークウェブに浮上

The Hacker News – Apr 24 2023 06:36

新たな「オールインワン」のスティーラーマルウェア「EvilExtractor」が、脅威アクターたちを相手に販売されている。EvilExtractorは「学習用」ツールとして宣伝されているものの、脅威アクターたちは同マルウェアを情報スティーラーとして使用しているという。

EvilExtractorは2022年10月22日から「Kodex」というアクターによってCrackedなどのサイバー犯罪フォーラム上で販売されているが、Fortinetの研究者によると2023年3月に、同マルウェアを拡散させる攻撃が急増するのが観測されたという。その標的の大半はヨーロッパや米国の被害者。また、2023年3月30日にFortinetが観測したフィッシングメールキャンペーンにおいても、EvilExtractorが使用されていたとされる。

EvilExtractorは継続的にアップデートされており、複数のWebブラウザからのシステムメタデータ、パスワード、およびクッキーの収集に加え、キーストロークの記録やファイルの暗号化などのランサムウェアとしての動作も行えるさまざまなモジュールを備えているとのこと。

北朝鮮ハッカーが新マルウェア「RustBucket」を使ってMacユーザーを標的に

SecurityWeek – Apr 24 2023 13:11

北朝鮮関連ハッキンググループBlueNoroffが、最近の攻撃でmacOS用マルウェア「RustBucket」を使用しているのが観測されたと、サイバーセキュリティ企業のJamfが明かした。BlueNoroffは、Lazarusのサブグループと考えられるAPTアクター。

RustBucketの第1段階のマルウェアは、署名されていないアプリケーション「Internal PDF Viewer.app」に含まれており、第2段階のペイロードをシステム上に呼び出し、実行する。このInternal PDF Viewer.appの実行にはユーザー操作が必要であるとみられることから、攻撃者はここでソーシャルエンジニアリング手法を用いて被害者を騙している可能性がある。

第2段階のペイロードは正規のAppleバンドル識別子を装った署名付きアプリケーションで、C2サーバーとの通信を開始し、第3段階のペイロードを呼び出す。第3段階のペイロードはRustで書かれた署名付きのトロイの木馬で、実行中のプロセスのリスト、現在の時刻、自身が仮想マシンで実行されているかどうかなどのシステム情報を収集する。これにより攻撃者は、感染したマシン上でさまざまなアクションを実行できるようになるという。

Jamfは、BlueNoroffと強いつながりを持つLazarusグループにはmacOSを攻撃してきた長い歴史があるとした上で、今後さらに多くのAPTグループが同じことを始めると思われるとの見解を示している。

Tomirisから苦情、「Turlaのマルウェアを使っていたのは自分たちだ」

Kaspersky Lab – Apr 24 2023 08:00

ややこしい：APT「Tomiris」がTurlaのマルウェアを使用し、研究者を惑わせる

Dark Reading – Apr 24 2023 21:27

ロシアのAPTであるTurlaの関与が指摘されていたキャンペーンが、実際には研究者が「Tomiris」と名付けた全く別のグループによって実施されていたことが判明。

Turla（別名：Snake、Venomous Bear、Ourobouros）はロシア政府とのつながりを持つ悪名高い脅威アクターで、長年にわたり、ゼロデイなどの手段を用いてさまざまな軍や政府、外交機関、技術・研究機関のシステムにバックドアを展開してきた。

カスペルスキーの研究者は、これまでTurlaと関連付けられていた特定の攻撃が、戦術、技術、手順（TTP）および所属が異なる全く別のグループTomirisによって実行されていたことを示す証拠を発表した。その中でも大きな手がかりとなっているのが、Tomirisの標的決定。Tomirisはロシア連邦を含むCIS（独立国家共同体）の政府機関を重点的に狙っているが、ロシア関連アクターであるTurlaがこのようなことをするとは考えにくい。

一方で、TomirisがTurlaの悪意あるツール（KopiLuwakとTunnusSched）を使用していた様子も観測されていることから、両アクターの間に全く繋がりがないとも言い切れないという。

サイバー攻撃において用いられる技術やインプラントは脅威アクターによって異なることから、脅威アクターを区別することは、企業が攻撃へ対処する上で役立つ。そのため、今回のようなニュースに留意することは企業にとって重要であると思われる。

2023年4月25日

ハイライト

脆弱性スポットライト：IBM製AIXにおける脆弱性により、昇格した権限でコマンドインジェクションがなされる可能性（CVE-2023-26286、CVE-2023-28528）

Talos Intelligence Blog – Apr 24 2023 14:59

CVEに関するアドバイザリ – Cisco ISEにおける複数の脆弱性を完全公開 – ワンクリックでリモートコード実行が可能（CVE-2022-20964、CVE-2022-20965ほか）

Yoroi Blog – Apr 24 2023 07:29

シュナイダーエレクトリック、APC製UPSユニットにおける脆弱性3件に対するパッチをリリース（CVE-2023-29411、CVE-2023-29412ほか）

SC Magazine US – Apr 24 2023 17:53

SolarWinds Platformのアップデートにより深刻度の高い脆弱性が修正される（CVE-2022-36963、CVE-2022-47505ほか）

Security Week – Apr 24 2023 11:06

Nessus（脆弱性をスキャンするためのツール）について

Medium Cybersecurity – Apr 24 2023 09:50

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。