EvilExtractor:Windowsシステムを狙う新たなオールインワン・スティーラー | Codebook|Security News
Codebook|Security News > Articles > Threat Report > EvilExtractor:Windowsシステムを狙う新たなオールインワン・スティーラー

Threat Report

Silobreaker-CyberAlert

EvilExtractor:Windowsシステムを狙う新たなオールインワン・スティーラー

Yoshida

Yoshida

2023.04.25

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年4月25日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

Windowsシステムを狙う新たなオールインワン・スティーラー「EvilExtractor」がダークウェブに浮上

The Hacker News – Apr 24 2023 06:36

新たな「オールインワン」のスティーラーマルウェア「EvilExtractor」が、脅威アクターたちを相手に販売されている。EvilExtractorは「学習用」ツールとして宣伝されているものの、脅威アクターたちは同マルウェアを情報スティーラーとして使用しているという。

EvilExtractorは2022年10月22日から「Kodex」というアクターによってCrackedなどのサイバー犯罪フォーラム上で販売されているが、Fortinetの研究者によると2023年3月に、同マルウェアを拡散させる攻撃が急増するのが観測されたという。その標的の大半はヨーロッパや米国の被害者。また、2023年3月30日にFortinetが観測したフィッシングメールキャンペーンにおいても、EvilExtractorが使用されていたとされる。

EvilExtractorは継続的にアップデートされており、複数のWebブラウザからのシステムメタデータ、パスワード、およびクッキーの収集に加え、キーストロークの記録やファイルの暗号化などのランサムウェアとしての動作も行えるさまざまなモジュールを備えているとのこと。

北朝鮮ハッカーが新マルウェア「RustBucket」を使ってMacユーザーを標的に

SecurityWeek – Apr 24 2023 13:11

北朝鮮関連ハッキンググループBlueNoroffが、最近の攻撃でmacOS用マルウェア「RustBucket」を使用しているのが観測されたと、サイバーセキュリティ企業のJamfが明かした。BlueNoroffは、Lazarusのサブグループと考えられるAPTアクター。

RustBucketの第1段階のマルウェアは、署名されていないアプリケーション「Internal PDF Viewer.app」に含まれており、第2段階のペイロードをシステム上に呼び出し、実行する。このInternal PDF Viewer.appの実行にはユーザー操作が必要であるとみられることから、攻撃者はここでソーシャルエンジニアリング手法を用いて被害者を騙している可能性がある。

第2段階のペイロードは正規のAppleバンドル識別子を装った署名付きアプリケーションで、C2サーバーとの通信を開始し、第3段階のペイロードを呼び出す。第3段階のペイロードはRustで書かれた署名付きのトロイの木馬で、実行中のプロセスのリスト、現在の時刻、自身が仮想マシンで実行されているかどうかなどのシステム情報を収集する。これにより攻撃者は、感染したマシン上でさまざまなアクションを実行できるようになるという。

Jamfは、BlueNoroffと強いつながりを持つLazarusグループにはmacOSを攻撃してきた長い歴史があるとした上で、今後さらに多くのAPTグループが同じことを始めると思われるとの見解を示している。

Tomirisから苦情、「Turlaのマルウェアを使っていたのは自分たちだ」

Kaspersky Lab – Apr 24 2023 08:00

ややこしい:APT「Tomiris」がTurlaのマルウェアを使用し、研究者を惑わせる

Dark Reading – Apr 24 2023 21:27

ロシアのAPTであるTurlaの関与が指摘されていたキャンペーンが、実際には研究者が「Tomiris」と名付けた全く別のグループによって実施されていたことが判明。

Turla(別名:Snake、Venomous Bear、Ourobouros)はロシア政府とのつながりを持つ悪名高い脅威アクターで、長年にわたり、ゼロデイなどの手段を用いてさまざまな軍や政府、外交機関、技術・研究機関のシステムにバックドアを展開してきた。

カスペルスキーの研究者は、これまでTurlaと関連付けられていた特定の攻撃が、戦術、技術、手順(TTP)および所属が異なる全く別のグループTomirisによって実行されていたことを示す証拠を発表した。その中でも大きな手がかりとなっているのが、Tomirisの標的決定。Tomirisはロシア連邦を含むCIS(独立国家共同体)の政府機関を重点的に狙っているが、ロシア関連アクターであるTurlaがこのようなことをするとは考えにくい。

一方で、TomirisがTurlaの悪意あるツール(KopiLuwakとTunnusSched)を使用していた様子も観測されていることから、両アクターの間に全く繋がりがないとも言い切れないという。

サイバー攻撃において用いられる技術やインプラントは脅威アクターによって異なることから、脅威アクターを区別することは、企業が攻撃へ対処する上で役立つ。そのため、今回のようなニュースに留意することは企業にとって重要であると思われる。

2023年4月25日

ハイライト

 

AuKill、 BYOVDを通じてProcess Explorerユーティリティを悪用しランサムウェアを展開

Cyware – Apr 24 2023 20:49

 

オープンソースのGh0st RAT、リリースから15年経った今も受信ボックスを悩ませる

PhishMe – Apr 24 2023 14:54

 

米国、欧州でEvilExtractorの活発な活動が観測される

SC Magazine US – Apr 25 2023 01:14

 

クリプトジャッカー「8220 Gang」、Log4Shellを悪用してコインをミントする

Cyware – Apr 25 2023 00:00

 

KuCoinのツイッターアカウントがハッキングされ、暗号通貨詐欺で22.6万ドルの損失が生じる

Information Security Buzz – Apr 24 2023 17:45

 

スーパーマーケット「Naivas」のシステムがハッキングされデータが盗まれる

DataBreaches.net – Apr 24 2023 11:11

 

ITRC:データ侵害通知の詳細が不明確なケースが増加中

BankInfoSecurity – Apr 24 2023 15:09

 

米国CFPBの大規模なデータ侵害は職員により発生

Medium Cybersecurity – Apr 24 2023 10:16

 

米国法曹協会でのデータ侵害で140万人以上の会員の認証情報が流出

Bitdefender – Apr 24 2023 11:44

 

Yellow Pages Canada、サイバー攻撃の注意喚起 Black Bastaがデータを流出させる中

Information Security Buzz – Apr 24 2023 11:53

 

Blind Eagleの新たな攻撃チェーンが発見される

Cyware – Apr 24 2023 20:49

 

DoNot APT、メッセージングアプリを用いてAndroid向けマルウェアを配布

Cyware – Apr 24 2023 12:25

 

サイバースパイ活動グループBlind Eagleが再襲:新たな攻撃チェーンが発見される

Medium Cybersecurity – Apr 25 2023 05:35

 

Mint Sandstorm、米国の重要インフラを標的に

Cyware – Apr 24 2023 20:49

 

ランサムウェアグループPlay、より多くのデータを収集するため新たなツール2点を追加

Cyware – Apr 24 2023 20:49

 

APT41、オープンソースのレッドチームツールを使用 – GC2

Cyware – Apr 24 2023 08:49

 

脆弱性スポットライト:IBM製AIXにおける脆弱性により、昇格した権限でコマンドインジェクションがなされる可能性(CVE-2023-26286、CVE-2023-28528)

Talos Intelligence Blog – Apr 24 2023 14:59

 

CVEに関するアドバイザリ – Cisco ISEにおける複数の脆弱性を完全公開 – ワンクリックでリモートコード実行が可能(CVE-2022-20964、CVE-2022-20965ほか)

Yoroi Blog – Apr 24 2023 07:29

 

シュナイダーエレクトリック、APC製UPSユニットにおける脆弱性3件に対するパッチをリリース(CVE-2023-29411、CVE-2023-29412ほか)

SC Magazine US – Apr 24 2023 17:53

 

SolarWinds Platformのアップデートにより深刻度の高い脆弱性が修正される(CVE-2022-36963、CVE-2022-47505ほか)

Security Week – Apr 24 2023 11:06

 

Nessus(脆弱性をスキャンするためのツール)について

Medium Cybersecurity – Apr 24 2023 09:50

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (25 April 2023).

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ