日本も標的に:情報スティーラーViperSoftXが検出回避のため高度な技術を採用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 日本も標的に:情報スティーラーViperSoftXが検出回避のため高度な技術を採用

Threat Report

Silobreaker-CyberAlert

日本も標的に:情報スティーラーViperSoftXが検出回避のため高度な技術を採用

Yoshida

Yoshida

2023.05.01

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年4月29日と30日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

日本も標的に:情報スティーラーViperSoftXが検出回避のため高度な技術を採用

The Hacker News – Apr 28 2023 11:30

オーストラリア、日本、米国、インドの消費者やエンタープライズ部門の多数の被害者が、マルウェア「ViperSoftX」の影響を受けているとトレンドマイクロが伝えている。

ViperSoftXは回避性能に優れた情報窃取型マルウェアで、2020年に初めてFortinetによって報告された。トレンドマイクロによると、同マルウェアはこれまでよりも高度な暗号化技術に加え、ベーシックなアンチ分析技術を用いるようになっており、Brave、Google Chrome、Microsoft Edge、Mozilla Firefox、OperaといったWebブラウザが狙われているという。

ViperSoftXは、第1段階のPowerShellローダーをダウンロードする前に、アンチ仮想マシン、アンチモニタリング、およびアンチマルウェアをチェックする。チェックの後にダウンロードされるローダーは、遠隔のC2サーバーから呼び出される第2段階のPowerShellスクリプトを復号・実行する。その後、パスワードや暗号資産ウォレットのデータを抜き取るための有害なブラウザ拡張子がインストールされる。

C2サーバーは月1回程度の頻度で変更されているのが観測されている。これは、検出をかわすためのアクターの試みの1つだと思われる。またWebブラウザを用いた通信を無効化するという、アンチC2分析のベーシックな手法も取り入れられているという。

ViperSoftXの感染ベクターは主にクラック版ソフトやキージェネレーター、マルチメディアエディターやシステムクリーナーアプリなどの無害なソフトウェア。対策としては、ソフトウェアのダウンロードは公式プラットフォームや公式ソースからのみ行うこと、不法ソフトのダウンロードは避けることなどが推奨されている。

Tonto Teamがアンチマルウェアファイルを使って韓国の組織を攻撃

The Hacker News – Apr 28 2023 06:44

中国関連の脅威アクター「Tonto Team」が、アンチマルウェア製品に関するファイルを使って韓国の教育、建築、外交、政府機関へのマルウェア攻撃を試みていると、AhnLab Security Emergency Response Center(ASEC)が報告。

Tonto Teamは遅くとも2009年から活動しており、アジアや東ヨーロッパのさまざまな業界を標的にしてきた。最近では、今年初めにセキュリティ企業Group-IBへのフィッシング攻撃が失敗に終わっていたことが報じられていた。

ASECが発見した攻撃はまず、マイクロソフトのコンパイルされたHTMLヘルプファイル(.CHM)から開始されていたという。このファイルによって実行されるバイナリファイルは有害DLLファイル(slc.dll)をサイドロードし、オープンソースのVBScriptバックドア「ReVBShell」を実行する。

ReVBShellはその後、第2の実行可能ファイル(正規ソフトウェアAvastのコンフィグファイル【wsc_proxy.exe】)と第2の有害DLL(wsc.dll)をサイドロードするために利用される。そして最終的に、リモートアクセス型トロイの木馬「Bisonal」が展開されるという。

ASECによると、今回のアバストのように、Tonto Teamは正常なソフトウェアをより巧妙な攻撃に用いるなど、さまざまな手段によって絶えず進化し続けているとのこと。

Zyxel製のファイアウォールにおける重大な脆弱性により、コマンド実行がなされる可能性(CVE-2023-28771、CVE-2023-27991)

SecurityWeek – Apr 28 2023 08:39

Zyxelが、ファイアウォール製品ATP、USG FLEX、VPN、ZyWALL/USGに影響を与える重大な脆弱性CVE-2023-28771(CVSSスコア:9.8)のパッチを発表した。

認証されていない攻撃者が細工したパケットを影響を受けるデバイスへ送信することによりCVE-2023-28771を悪用すると、OSコマンドをリモートで実行することが可能になる恐れがある。この脆弱性が実際の攻撃で悪用された様子はないとされるものの、未パッチのZyxel製品は悪意あるアクターの標的となる場合があることから、ユーザーにはできる限り早く該当ファイアウォールをアップデートすることが推奨されている。

CVE-2023-28771はATP、USG FLEX、VPNファームウェアのバージョン5.36と、ZyWALL/USGファームウェアのバージョン4.73 Patch 1で修正されている。またこれらのバージョンでは、別の深刻度の高いコマンドインジェクションの脆弱性CVE-2023-27991も修正されているとのこと。

Zyxelのアドバイザリはこちら:Zyxel’s latest security announcements and advices

2023年4月29日

ハイライト

 

オンラインショッピングをご利用の方へ:スマートで現代的な見た目に騙されないでください — Magecartです!

The Hacker News – Apr 28 2023 09:18

 

APTのAlloy Taurus、Linuxユーザーを狙いPingPullと新たなバックドアを使用しているのを発見される

Cyware – Apr 28 2023 13:13

 

FIN7、Veeamのバックアップソフトウェアにおける脆弱性を悪用(CVE-2023-27532)

Cyware – Apr 28 2023 13:13

 

ランサムウェアグループのLockBitとCl0p、Papercutにおける脆弱性を盛んに悪用

Malwarebytes Unpacked – Apr 28 2023 13:00

関連記事:Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用(CVE-2023-27350、CVE-2023–27351)

 

「恥ずかしい」:LockBitランサムウェアグループが学校のハッキングについて謝罪、無料で復号ツールを提供

Graham Cluley – Apr 28 2023 07:22

 

「BellaCiao」は、イランの脅威グループがいかに自身のマルウェアを最新化させているのかについて示している

Dark Reading – Apr 28 2023 20:18

 

「Krebs on Security」におけるデータ侵害:ユーザーにとってどのような意味があるのか、そしてSalesforceではデータ保護のために何ができるのか

Medium Cybersecurity – Apr 28 2023 15:36

 

ランサムウェアRTM Lockerの亜種がESXiサーバーを狙う

SecurityWeek – Apr 28 2023 11:05

 

新たなmacOSマルウェアAtomicが、キーチェーンパスワードと暗号ウォレットを盗み出す

The Hacker News – Apr 28 2023 11:59

 

通信会社への攻撃で知られるAlloy Taurus、PingPullとマルウェアツールSword2033を使用

Medium Cybersecurity – Apr 28 2023 15:24

 

RTM LockerのRaaSグループがLinux、NASおよびESXiホストに目をつける

BankInfoSecurity – Apr 28 2023 23:39

 

GoogleがCryptBotのディストリビューターを妨害するため裁判所から一時的な差し止め命令を得る

Security Affairs – Apr 28 2023 09:44

 

CVE-2023-24674 / CMSのBluditにおける特権エスカレーションの脆弱性を解明する

Medium Cybersecurity – Apr 28 2023 15:12

 

シスコ、NATOのペンテスターから報告された脆弱性のパッチを準備中(CVE-2023-20060)

Security Week – Apr 28 2023 13:52

関連記事:ペネトレーションテストとは?やり方や目的、脆弱性診断との違いについてわかりやすく解説!

 

WordPressプラグインにおける脆弱性ではない、4月28日の週

Plugin Vulnerabilities – Apr 28 2023 22:00

2023年4月30日

ハイライト

 

Telegram上でAtomic macOS Stealerが月額1,000ドルで宣伝される

Security Affairs – Apr 29 2023 18:09

 

Google、マルウェアCryptBotのディストリビューターを追求する許可を得る

SC Magazine US – Apr 29 2023 15:37

 

ViperSoftXに、より高度な暗号化技術とアンチアナリシス技術が実装される

Security Affairs – Apr 29 2023 22:20

 

RTM Group、自身のLinuxランサムウェアを開発

Cyware – Apr 29 2023 14:04

 

ユナイテッドヘルスケア、顧客の個人情報が流出した可能性のあるデータ侵害について報告

DataBreaches.net – Apr 29 2023 19:10

 

Amnesty International Australia、12月にデータ侵害に見舞われるも現在はすべて問題なしと発表

DataBreaches.net – Apr 29 2023 19:10

 

米CISA、イルミナ製医療機器の重大な脆弱性について警告(CVE-2023-1968)

Security Affairs – Apr 29 2023 09:37

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (29 April 2023), Daily Cyber Alert (30 April 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ