Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用（CVE-2023-27350、CVE-2023–27351）

Yoshida

2023.04.28

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月28日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

マイクロソフト：ランサムウェアCl0pがPaperCutにおける脆弱性を4月13日から悪用（CVE-2023-27350、CVE-2023–27351）

SecurityWeek – Apr 27 2023 10:33

マイクロソフトによると、最近パッチがリリースされたPaperCutの脆弱性（CVE-2023-27350、CVE-2023–27351）を、FIN11およびTA505に関連するCl0pランサムウェアのオペレーターが4月13日から悪用しているという。

CVE-2023-27350は認証バイパスやSystem権限でのRCEを可能にする脆弱性で、CVSSスコアは9.8。またCVE-2023–27351は情報開示につながり得る深刻度の高い脆弱性で、CVSSスコアは8.2。両脆弱性は2023年3月にリリースされたPaperCut MFおよびPaperCut NGのバージョン20.1.7、21.2.11、22.0.9で対処されていた。

その後、先週になってPaperCutはCVE-2023-27350が悪意ある攻撃で悪用されていると警告し、顧客に早急なアップデートを呼びかけていた。

PaperCutはCVE-2023-27350にしか言及しなかったものの、数日後に攻撃を観測したと報告したセキュリティ企業Huntressとマイクロソフトは、CVE-2023-27350とCVE-2023–27351の双方が悪用されていたとの見解を示している。

Huntressは、TrueBotマルウェアのオペレーターで、ロシアのハッキンググループTA505とのつながりを持つとされるSilenceが今回の攻撃に関与していると指摘している。なおTA505は、Cl0pランサムウェアを配布することで知られている。

一方マイクロソフトは、Cl0pランサムウェアのオペレーターで、APTグループ FIN11およびTA505との関連が指摘されるアクター「Lace Tempest」（別名DEV-0950）が、2週間前からPaperCutの脆弱性を悪用していると述べた。さらに同社は、このアクターがTrueBotを展開していることにも触れている。これは、Huntressの観測結果とも合致する。

また、Huntressによると、現在ではより多くの脅威アクターがPaperCutの脆弱性を悪用するようになっているとのこと。

RTM LockerランサムウェアのLinux版がVMware ESXiサーバーを標的に

Bleeping Computer – Apr 27 2023 16:20

VMware ESXiサーバーを標的とするLinux向け暗号化ツールを使用するのが観測されたランサムウェアオペレーション群に、新たにRTM Lockerが追加された。

RTM (Read The Manual) は、遅くとも2015年から活動するサイバー犯罪グループで、被害者から金銭を奪うためのバンキング型トロイの木馬を配布することで知られている。

サイバーセキュリティ企業Trellixは今月、RTMが新たなRaaSオペレーションを開始し、アフィリエイトを募集し始めたことを報告していた。しかしこの時点では、RTMの暗号化ツールはWindows向けのものしか観測されていなかった。

しかしUptycsは4月26日に公開したレポートの中で、RTMが標的をLinuxおよびVMware ESXi サーバーにまで拡大していることを伝えた。これによると、RTM LockerのLinux版亜種は、かつて存在していたランサムウェア「Babuk」の漏洩ソースコードをベースにしたものだという。

ESXiサーバーを狙うためのLinux向け暗号化ツールを取り入れるようになったランサムウェアとしては、Royal、Black Basta、LockBit、BlackMatter、AvosLocker、REvil、HelloKitty、RansomEXX、Hiveが知られているが、今回ここに新しくRTM Lockerが追加されたこととなる。

BleepingComputerは、研究によってRTMグループは特別活動量が多いというわけではないことが示されているとしながらも、この状況は今後変化し得るとも述べている。

新マルウェア「Atomic macOS Stealer」が月額1,000ドルで売りに出される

SecurityWeek – Apr 27 2023 12:25

新たなmacOSマルウェア「Atomic macOS Stealer」（略称AMOS）を、脅威インテリジェンス企業Cybleの研究者が分析。

Cybleによると、同マルウェアはあるTelegramチャンネルにおいて月額1,000ドルという価格で宣伝されているという。AMOSの作者は、このマルウェアにはキーチェーン内のすべてのパスワード、完全なシステム情報、および侵害されたコンピューター上のファイルを盗む性能が備わっていると主張している。さらに、Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Operaといったブラウザからパスワード、クッキー、暗号資産ウォレット、ペイメントカードデータを盗むこともできるとされる。

Trellixの研究者もまた同マルウェアを分析しており、AMOSの使用するIPアドレスがRaccoon Stealer（過去にロシアおよびウクライナのアクターと紐づけられていたマルウェア）と関連している可能性があることを認識したという。

なおSecurityWeekの記事が執筆された時点で、AMOSは1つのアンチマルウェアエンジンによって検出されていたとのこと。

2023年4月28日

ハイライト

Google、機微データを盗むCryptBotの配布者を追及

Information Security Buzz – Apr 27 2023 11:09

PaperCutにおける脆弱性がClop、LockBitランサムウェアのアフィリエイトに利用される（CVE-2023-27350、CVE-2023–27351）

Help Net Security – News – Apr 27 2023 10:17

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。